介绍

什么是DKIM?

DomainKeys Identified Mail是一种电子邮件身份验证方法,旨在检测电子邮件中伪造的发件人地址,这是钓鱼和电子邮件垃圾邮件中经常使用的一种技术。DKIM允许收件人检查声称来自特定域的电子邮件是否确实得到该域所有者的授权。

DKIM(域密钥识别邮件)是一种电子邮件安全标准,旨在确保邮件在发送服务器和收件人服务器之间的传输过程中不被更改。它使用公钥加密技术在邮件离开发送服务器时使用私钥对其进行签名。然后,收件人服务器使用发布到域DNS的公钥来验证邮件的来源,而这不是邮件正文在传输过程中没有更改。一旦收件人服务器使用公钥验证签名,邮件将通过DKIM,并被认为是真实的。

当您注册Office 365服务时,Office 365通常会为您的初始域设置SPF和DKIM记录。但当您希望添加域以使用Office 365服务时,情况并非如此。管理员需要手动启用DKIM服务,因此,管理员可以在为新添加的域设置SPF记录的同时设置用于安全邮件传递的域。

为自定义域启用DKIM

为自定义域启用DKIM可以通过两个步骤完成。它们是:

  1. 在DNS中为自定义域发布两条CNAME记录
  2. 在Office 365中为自定义域启用DKIM签名

在我们的案例中,我们正在Office 365中添加自定义域vembudesk.com,并在Office 365安全与法规遵从性中心中为自定义域vembudesk.com启用DKIM。

下载横幅

步骤1:为自定义域发布两条CNAME记录

对于每个自定义域,您需要在域注册器DNS中创建两条CNAME记录。下面的条目显示了要添加到DNS的这两条记录

主机名:selector1.\u domainkey
指向地址或值:选择器1-\u domainkey.
TTL:3600

主机名:选择器2.\u域密钥
指向地址或值:选择器2-\u domainkey.
TTL:3600

哪里:

对于Microsoft 365,选择器将始终为“选择器1”或“选择器2”。

域GUID与出现在mail.protection.outlook.com之前的自定义域的自定义MX记录中的域GUID相同。例如,在域vembudesk.com的以下MX记录中,域GUID为vembudesk com:

MX 5 vembudesk-com.mail.protection.outlook.com中的vembudesk.com.3600

初始域是您注册Microsoft 365时使用的域。初始域始终以onmicrosoft.com结尾。在我们的示例中,初始域名是vembu.onmicrosoft.com。

因此,DNS CNAME记录将是,

主机名:selector1.\u domainkey
指向地址或值的点:选择器1 vembudesk com.\u domainkey.vembu.onmicrosoft.com
TTL:3600

主机名:选择器2.\u域密钥
指向地址或值的点:选择器2 vembudesk com.\u domainkey.vembu.onmicrosoft.com
TTL:3600

下面的屏幕截图显示了我们的域名注册器DNS中的这些条目

DKIM

步骤2:在Office 365中为自定义域启用DKIM签名

默认情况下,在Office 365管理中心中添加自定义域时,不会自动启用自定义域的DKIM签名→ 设置→ 域。用户可以在Office 365 protection center中验证每个域的DKIM状态。也可以直接访问以下URL验证您添加的自定义域的DKIM状态。

https://protection.office.com/dkimv2

域密钥识别邮件(DKIM)-安全与合规(office.com)

并列出了您添加的域,如下所示

自定义域

单击新添加的域时,最初您会收到消息“没有为该域保存DKIM密钥”。添加上述两条CNAME记录后,您可以使用Powershell启用DKIM,如下所示。

  1. 使用以下命令首次登录到PowerShell中的Office 365帐户

    2. 连接ExchangeOnline-UserPrincipalName

    下面的屏幕截图显示了此命令,这将打开一个密码对话框,如下所示,输入密码并单击登录

    DKIM签名配置

  2. 运行以下命令以启用域的DKIM签名配置

“新建DkimSigningConfig-DomainName vembudesk.com-启用$true”,

这将启用DKIM配置按钮,您可以在Office 365安全和法规遵从性门户中进行验证,如下所示。

旋转DKIM关键点

确认已为Office 365正确配置DKIM签名

请稍等几分钟,然后按照这些步骤确认已正确配置DKIM。这将为有关域的DKIM信息在网络中传播留出时间。

从启用Office 365 DKIM的域中的帐户向其他电子邮件帐户(如Gmail)发送邮件。在我们的示例中,我们从Office 365邮箱发送了一封测试邮件“mailbox11@vembudesk.com到GSuite帐户。

打开消息并查看标题。查看邮件标题的说明因您的邮件客户端而异。DKIM签名消息将包含您在发布CNAME条目时定义的主机名和域。消息将类似于以下示例:

ARC认证结果:i=2;mx.google.com;
dkim=passheader.i=@vembudesk.com header.s=selector2 header.b=X4j33OHN;
arc=pass(i=1 spf=pass spfdomain=vembudesk.com dkim=pass dkdomain=vembudesk.com dmarc=pass fromtomain=vembudesk.com);
spf=pass(google.com:domain of ofmailbox11@vembudesk.com将40.107.131.91指定为允许的发件人)smtp.mailfrom=mailbox11@vembudesk.com;

此标题信息显示收件人电子邮件是Gmail帐户。在上面的示例中,您可能会看到诸如“dkim=pass和header.s=selector2”之类的信息,表示dkim签名已通过,我们可以得出结论,dkim记录已正确配置。

结论:

DKIM阻止垃圾邮件发送者进行欺骗,并保护收件人免受网络钓鱼攻击。反过来,它提高了电子邮件的可交付性,增强了利益相关者的信任。没有身份验证,邮件要么被标记为垃圾邮件,要么未发送给预期收件人,从而导致公司失去业务。因此,作为管理员,确认在添加到Office 365服务后,立即为您的域恢复SPF、DKIM和DMARC记录,以避免电子邮件欺骗和网络钓鱼攻击。金宝搏体育下载

跟着我们啁啾脸谱网新版本、更新、有见地的文章等的提要。