Настройка DKIM в Office 365: настройка подписи для Microsoft 365
Последнее обновление:
10 Время чтения: 10 минут
Ключевые выводы
- DKIM добавляет цифровую подпись к исходящим электронным письмам, чтобы серверы-получатели могли убедиться, что сообщение было отправлено из авторизованного источника и не было изменено во время передачи.
- Microsoft 365 автоматически обрабатывает DKIM для доменов onmicrosoft.com. Ручная настройка требуется только для пользовательских доменов и заключается в создании двух записей CNAME в вашей системе DNS.
- Подпись DKIM включается через портал Microsoft Defender после публикации и обнаружения записей CNAME.
- Одного DKIM недостаточно. Для полной аутентификации электронной почты и защиты домена его всегда следует настраивать вместе с SPF и DMARC.
- Ключи DKIM следует обновлять каждые один–два года для обеспечения надежной защиты электронной почты.
Если вы отправляете электронные письма через Microsoft 365 и не настроили DKIM для своего пользовательского домена, ваши письма отправляются без цифровой подписи. Это означает, что серверы-получатели не могут проверить, не были ли ваши сообщения изменены во время передачи, и ваш домен становится более уязвимым для подделки.
Настройка DKIM для Office 365 — один из важнейших этапов создания безопасной и надежной системы электронной почты.
В этом руководстве подробно описано всё: для чего нужен DKIM, как с ним работает Microsoft 365 и как именно настроить его для вашего собственного домена.
Что такое DKIM и почему это важно для Microsoft 365?
Прежде чем приступить к настройке, стоит разобраться, для чего нужен DKIM и почему он является важнейшим элементом настройки электронной почты в Microsoft 365.
DomainKeys Identified Mail (DKIM) — это протокол аутентификации электронной почты, который добавляет криптографическую цифровую подпись к каждому исходящему письму. При отправке сообщения домен-подписыватель использует закрытый ключ для генерации подписи.
Затем принимающий сервер извлекает соответствующий открытый ключ из DNS и использует его для проверки того, что тело сообщения и заголовки не были изменены во время передачи.
Как DKIM защищает вашу электронную почту
| Преимущество | Как это работает |
|---|---|
| Проверяет целостность сообщения | Криптографическая подпись подтверждает, что сообщение не было изменено после отправки |
| Предотвращает подделку домена | Это значительно затрудняет злоумышленникам подделку писем, отправленных с вашего домена |
| Улучшает доставляемость электронной почты | Письма, прошедшие аутентификацию, с меньшей вероятностью будут помечены как спам в Gmail, Yahoo и других почтовых сервисах |
| Повышает доверие к отправителю | Действительная подпись DKIM означает, что домен, подписавший сообщение, берет на себя ответственность за него |
| Включает принудительное применение DMARC | DKIM является обязательным параметром для правильной работы DMARC |
Какое место занимает DKIM наряду с SPF и DMARC
DKIM работает в сочетании с SPF и DMARC , образуя полную систему аутентификации электронной почты. Каждый протокол охватывает свой уровень:
- SPF проверяет, что отправляющий сервер имеет право отправлять электронную почту от имени вашего домена
- DKIM проверяет, что содержание сообщения не было изменено во время передачи
- DMARC обеспечивает соблюдение политики, требуя, чтобы SPF и DKIM соответствовали адресу «От кого»
Чтобы DKIM прошел проверку DMARC, домен в поле «От кого» должен совпадать с доменом, использованным в подписи DKIM. Именно это требование о совпадении и обеспечивает эффективность комбинации SPF, DKIM и DMARC такой эффективной против фишинговых атак и спуфинга.
Одного DKIM недостаточно для предотвращения всех видов подделки адресов электронной почты. Для обеспечения полной защиты его необходимо использовать в сочетании с SPF и DMARC. Позже в этом руководстве мы расскажем , как настроить DMARC в сочетании с DKIM в Microsoft 365.
Вот почему более 10 000 клиентов доверяют PowerDMARC
- Значительное сокращение попыток подделки и несанкционированных электронных писем
- Более быстрая адаптация + автоматизированное управление аутентификацией
- Аналитика угроз в реальном времени и отчетность по всем доменам
- Улучшение показателей доставки электронной почты благодаря строгому соблюдению DMARC
Первые 15 дней мы оплачиваем за вас
Зарегистрируйтесь для бесплатной пробной версииКак Microsoft 365 обрабатывает DKIM
Понимание того, как Microsoft 365 по умолчанию управляет DKIM, избавит вас от лишних затруднений при настройке.
Что Microsoft выполняет автоматически
Microsoft автоматически включает подпись DKIM для исходного домена onmicrosoft.com, связанного с вашим арендатором Microsoft 365. Если вы отправляете письма только с домена yourcompany.onmicrosoft.com, DKIM уже работает без какой-либо ручной настройки.
Что требует настройки вручную
Для каждого пользовательского домена, который вы используете для отправки электронной почты, требуется ручная настройка DKIM.
Если ваша организация отправляет письма с собственного домена, например yourcompany.com, вам необходимо создать записи CNAME в вашем DNS и включить подпись DKIM через портал Microsoft Defender.
Каждый субдомен, используемый для отправки электронной почты из Microsoft 365, также требует собственной настройки DKIM. Настройки DKIM не распространяются автоматически с корневого домена на его субдомены.
Система с двумя селекторами
В Microsoft 365 для каждого пользовательского домена используются два селектора DKIM: selector1 и selector2.
Использование двух селекторов позволяет Microsoft автоматически менять ключи DKIM для повышения безопасности. При настройке DKIM вы создаете записи CNAME для обоих селекторов, указывающие на открытые ключи, сгенерированные Microsoft 365.
| Мнение эксперта: «По моему опыту помощи организациям в внедрении DKIM, автоматизация мониторинга DKIM с помощью PowerDMARC не только экономит время, но и помогает выявлять ошибки в настройках до того, как они повлияют на доставляемость электронной почты. Это особенно важно для SaaS-компаний и отраслей, подпадающих под регулирование, где надежность электронной почты имеет первостепенное значение». |
Требования к настройке DKIM в Office 365
Перед началом настройки DKIM убедитесь, что выполнены следующие условия.
| Обязательное условие | Подробности |
|---|---|
| Права администратора | Для выполнения действий по настройке DKIM требуется роль глобального администратора или администратора Exchange |
| Домен, подтвержденный пользователем | Прежде чем настроить DKIM, необходимо подтвердить ваш собственный домен в Microsoft 365 |
| Доступ к DNS | Для публикации записей CNAME вам потребуется доступ к вашему регистратору доменов или провайдеру DNS-хостинга |
| SPF настроен | Перед включением DKIM для вашего домена необходимо предварительно настроить SPF |
Если для вашего домена ещё не настроен SPF, сначала настройте его. Пошаговые инструкции см. в нашем руководстве по настройке SPF.
Как настроить DKIM для Office 365: пошаговая инструкция
Настройка DKIM для пользовательского домена в Microsoft 365 включает в себя три основных действия: получение значений записей CNAME с портала Microsoft Defender, публикация этих записей в системе DNS и включение подписи DKIM после обнаружения этих записей.
Процесс довольно прост, но требует точности на каждом этапе. Опечатки в значениях CNAME — самая частая причина сбоев при настройке DKIM, поэтому не торопитесь при настройке DNS.
Шаг 1: Получите значения записей DKIM CNAME из Microsoft 365
Microsoft 365 генерирует точные значения записей CNAME, которые необходимо опубликовать в вашей системе DNS. Чтобы их найти:
- Войдите в портал Microsoft Defender
- Перейти к «Электронная почта и совместная работа» > «Политики и правила» > «Политики угроз»
- Выбрать Настройки аутентификации электронной почты
- Нажмите на DKIM вкладку
- Выберите свой собственный домен из списка
- Откройте всплывающее окно с подробной информацией об этом домене
На портале будут отображены два необходимых значения записей CNAME. Если функцию DKIM пока невозможно включить, на портале будут указаны значения, которые необходимо использовать в записях CNAME.
Основной синтаксис записей DKIM CNAME для пользовательских доменов имеет следующий формат:
| Имя хоста | Указывает на |
|---|---|
| selector1._domainkey.вашдомен.com | selector1-вашдомен-com._domainkey.имявашегоарендатора.onmicrosoft.com |
| selector2._domainkey.вашдомен.com | selector2-вашдомен-com._domainkey.имявашегоарендатора.onmicrosoft.com |
Всегда используйте точные значения, указанные на портале Defender для вашего конкретного домена и арендатора, а не общий шаблон.
Шаг 2: Создайте записи CNAME в вашем DNS
Войдите в личный кабинет у регистратора домена или провайдера DNS-хостинга и создайте две новые записи CNAME, используя значения из предыдущего шага.
Основные моменты, которые необходимо проверить при добавлении записей:
- Тип записи должен быть установлен на CNAME, а не TXT или любой другой тип
- Значения имен хостов должны содержать полный префикс селектора: selector1._domainkey и selector2._domainkey
- Внимательно проверьте значения CNAME на наличие опечаток. Ошибки со стороны регистратора доменов являются наиболее распространённой причиной сбоев при настройке DKIM
- Не добавляйте несколько противоречащих друг другу записей для одного и того же имени хоста
Распространение изменений в системе DNS по всему миру может занять до 48 часов, хотя часто это происходит гораздо быстрее. Обнаружение новых записей CNAME в Microsoft 365 может занять от нескольких минут до нескольких часов.
Шаг 3: Включение подписи DKIM на портале Microsoft Defender
Как только записи CNAME будут опубликованы и распространены, вернитесь на вкладку «DKIM» на портале Microsoft Defender:
- Выберите свой собственный домен
- Откройте всплывающее окно с подробностями
- Переключить Подписывать сообщения для этого домена с помощью подписей DKIM включить
Чтобы включить DKIM-подпись, на вкладке «DKIM» должен отображаться статус домена с допустимыми значениями. Если портал не сможет обнаружить ваши записи CNAME, он отобразит сообщение об ошибке с указанием ожидаемых значений. Перед повторной попыткой тщательно проверьте правильность записей DNS.
После включения DKIM может потребоваться некоторое время, чтобы статус обновился и подтвердил, что подписи DKIM применяются к исходящим сообщениям.
Шаг 4: Проверьте работоспособность DKIM
Чтобы убедиться, что подпись DKIM включена, отправьте тестовое письмо со своего пользовательского домена на адрес Gmail и проверьте заголовок сообщения:
- Откройте полученное письмо в Gmail
- Нажмите на меню с тремя точками и выберите Показать оригинал
- Найдите поле заголовка DKIM-Signature в исходном заголовке сообщения
- Убедитесь, что подпись DKIM присутствует и что значение d= соответствует вашему пользовательскому домену
- Значение s= в заголовке DKIM-Signature определяет селектор, используемый в данный момент
Положительный результат проверки DKIM в заголовке сообщения подтверждает, что подпись DKIM включена и работает корректно для вашего пользовательского домена.
| Нужна помощь в устранении неполадок с DKIM? Эксперты по безопасности электронной почты компании PowerDMARC помогут вам быстро решить проблемы с настройкой DKIM. Начните бесплатную пробную версию , чтобы получить поддержку экспертов и автоматический мониторинг. |
Как настроить DKIM с помощью PowerShell
Для опытных пользователей и администраторов Exchange Online PowerShell предлагает мощные инструменты для управления и настройки параметров электронной почты, включая DKIM. Использование команд PowerShell позволяет автоматизировать настройку DKIM, включать или отключать подпись DKIM для ваших пользовательских доменов, а также эффективно устранять неполадки, что особенно полезно при управлении несколькими доменами или в сложных средах.
Вы можете использовать PowerShell для настройки DKIM в Exchange Online для Office 365, особенно если вам нужно настроить эту функцию для нескольких доменов. Для этого:
1. Подключиться к Exchange Online
2. Извлеките селекторы Office 365 DKIM, выполнив следующий сценарий:
3. Добавьте в DNS записи CNAME, предоставленные Office 365.
4. Выполните следующую команду, чтобы включить DKIM для домена:
Основные аспекты и ограничения при внедрении DKIM
DKIM — это мощный протокол аутентификации электронной почты , но он имеет технические ограничения, которые важно понимать до и во время внедрения.
Заранее зная об этих ограничениях, вы сможете избежать типичных ошибок, правильно спланировать настройку и сформировать реалистичные ожидания относительно того, от чего DKIM может защитить самостоятельно, а от чего — нет.
| Рассмотрение | Что нужно знать |
|---|---|
| Длина ключа | В Microsoft 365 по умолчанию используются 2048-битные криптографические ключи, что обеспечивает надежную защиту исходящих сообщений |
| Распространение DNS | После публикации записей CNAME может потребоваться до 48 часов, чтобы изменения в DNS распространились по всему миру, хотя обычно это происходит гораздо быстрее |
| Ротация ключей DKIM | Обновляйте ключи DKIM каждые один-два года, чтобы обеспечить надежную защиту электронной почты и снизить риск злоупотребления старыми ключами |
| Несколько доменов | Для каждого пользовательского домена, используемого для отправки электронной почты, требуется отдельная настройка DKIM. Настройки DKIM не распространяются автоматически с корневого домена на его поддомены |
| Неиспользуемые домены | Не публикуйте записи DKIM для доменов, с которых никогда не отправляются электронные письма. В противном случае может быть разрешена проверка DKIM поддельных сообщений, отправленных с этих доменов |
Ограничения DKIM
Понимание того, в чём заключаются недостатки DKIM, не менее важно, чем знание его преимуществ. Именно эти ограничения являются причиной того, что DKIM всегда следует внедрять в сочетании с SPF и DMARC, а не рассматривать как самостоятельное решение.
Переадресация электронной почты
При пересылке электронных писем подписи DKIM могут быть нарушены. При пересылке сообщения некоторые почтовые серверы изменяют заголовок или текст сообщения таким образом, что исходная подпись DKIM становится недействительной.
Это одна из основных причин, по которой протокол DMARC требует согласованности как SPF, так и DKIM, а не полагается только на один из них.
Изменение сообщения
Любые изменения в содержании письма после его подписания приведут к аннулированию подписи DKIM. Сюда относятся изменения, вносимые списками рассылки, почтовыми шлюзами или средствами фильтрации контента, которые изменяют текст письма или определенные поля заголовка перед доставкой.
Сторонние службы отправки
Внешние почтовые сервисы, отправляющие письма от вашего имени, такие как маркетинговые платформы, системы CRM и инструменты службы поддержки, могут потребовать дополнительных настройки DKIM.
Как правило, каждый сторонний отправитель должен подписывать исходящие сообщения либо вашим доменом, либо своим собственным, и это необходимо проверять и учитывать в общей конфигурации аутентификации электронной почты.
Гибридные среды
Организациям, использующим как локальную версию Exchange, так и Microsoft 365 в гибридной среде, может потребоваться уделить особое внимание настройке DKIM-подписи.
Сообщения, проходящие через локальные серверы перед отправкой в Microsoft 365, могут вести себя иначе, чем при отправке исключительно через облако, поэтому при настройке DKIM необходимо учитывать полный путь прохождения сообщения перед включением подписи.
Настройте DKIM для Office 365 правильно с помощью PowerDMARC!
Почему PowerDMARC?
«PowerDMARC упростил внедрение DKIM и обеспечил нам спокойствие благодаря автоматическому мониторингу». — ИТ-менеджер, компания в сфере финансовых технологий
|
Настройте DKIM и расширьте возможности с PowerDMARC
Включение подписи DKIM для вашего пользовательского домена Microsoft 365 — важнейший шаг в обеспечении безопасности вашей электронной почты. Однако одна только подпись DKIM решает лишь часть задачи.
Без внедрения DMARC, обеспечивающего соответствие требованиям и прозрачность почтового трафика, ваш домен остается уязвимым для подделки адресов и выдачи себя за другого, что DKIM не может предотвратить в одиночку.
PowerDMARC упрощает переход от настройки DKIM к полноценному применению DMARC. С хостируемым DMARC, автоматической отчетностью и платформой, созданной для упрощения каждого этапа аутентификации электронной почты, PowerDMARC предоставляет вам полную видимость того, кто отправляет письма от вашего имени, а также инструменты для надежной защиты вашего домена.
Воспользуйтесь бесплатной пробную версию DMARC , чтобы уже сегодня оценить все преимущества.
Вопросы и ответы
1. Как убедиться, что DKIM включен для всех доменов Exchange Online?
Чтобы убедиться, что DKIM включен для всех доменов Exchange Online, проверьте портал Microsoft Defender в разделе Электронная почта и совместная работа > Политики и правила > Политики угроз > DKIM. Убедитесь, что DKIM включен для каждого пользовательского домена.
2. Как осуществлять ротацию ключей DKIM в Office 365?
Чтобы выполнить ротацию ключей DKIM в Office 365, необходимо сгенерировать новые записи CNAME для новых ключей в системе DNS, а затем включить подпись DKIM для этих новых ключей на портале Microsoft Defender. Этот процесс способствует повышению безопасности за счет периодического обновления криптографических ключей, используемых для подписи ваших писем.
3. Как часто следует обновлять ключи DKIM?
Рекомендуется обновлять ключи DKIM каждые 1-2 года или раньше, если вы подозреваете, что ключи были скомпрометированы. Регулярная ротация помогает поддерживать надежную защиту электронной почты и не позволяет злоумышленникам использовать старые ключи.
4. Какова рекомендуемая длина ключа для записей DKIM?
В Microsoft Office 365 по умолчанию используются 2048-битные ключи DKIM, что обеспечивает высокий уровень безопасности и считается современным отраслевым стандартом. Такая длина ключа обеспечивает отличную защиту от криптографических атак при сохранении высокой производительности.
5. Как SPF, DKIM и DMARC взаимодействуют для защиты электронной почты?
SPF подтверждает подлинность отправляющих серверов, DKIM проверяет целостность сообщений с помощью цифровых подписей, а DMARC обеспечивает соблюдение политик, объединяя результаты SPF и DKIM. Вместе они создают комплексную систему аутентификации электронной почты, которая защищает от подделки адресов и фишинга, а также гарантирует, что легитимные письма дойдут до адресатов, которым они предназначены.
6. Что делать, если в исходящих письмах отсутствуют подписи DKIM?
Если в исходящих письмах отсутствуют подписи DKIM, проверьте, включена ли функция DKIM в вашей почтовой службе и опубликован ли в вашем DNS правильный открытый ключ DKIM. Кроме того, убедитесь, что селектор соответствует, и что изменения в DNS полностью вступили в силу. Если проблема не устраняется, проверьте настройки почтового сервера или обратитесь к своему почтовому провайдеру.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
- Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
- Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.
