为 Microsoft 365 配置 DKIM 记录

为了防止您的组织遭受电子邮件欺骗和网络钓鱼攻击，仅为 Microsoft 365 域配置 SPF 是不够的。因此，必须为 Microsoft 365 设置 DKIM 记录，以提高邮件安全性和送达率。在本文中，您将了解如何为 Microsoft 365 配置 DKIM 记录。

什么是 SPF、DKIM 和 DMARC？

DMARC、DKIM 和 SPF 是三种电子邮件身份验证方法。它们共同帮助防止垃圾邮件发送者、网络钓鱼者和其他未经授权的各方代表他们不拥有的域发送电子邮件。

1. 为 Microsoft 365 配置 SPF 记录
2. 为 Microsoft 365 配置 DKIM 记录（本文）
3. 为 Microsoft 365 配置 DMARC 记录

什么是 DKIM？

DKIM 代表域密钥识别邮件，是一种电子邮件身份验证协议。 DKIM 是一种验证发件人和消息内容是否真实的方法。

当发件人发送电子邮件时，它会留下一个印记（唯一的数字签名）以证明邮件是从合法域发送的。这样，收件人就可以验证电子邮件来自同一域的真实用户，并且原始邮件在发送后没有更改。

DKIM 基于公钥基础设施，由以下部分组成：

• 私钥：私钥仅对域所有者可见，用于对消息进行数字签名（身份证明）。
• 公钥：在 DNS（域名系统）记录中发布的每个人都可以使用的密钥以进行验证。

在 Microsoft 365 Defender 中配置 DKIM

我们将向您展示如何为您的 Microsoft 365 域设置 DKIM。

注意：如果您在 Microsoft 365 中注册了多个公共域名，则需要单独设置 DKIM。

1. 获取 DKIM 密钥

要在 Microsoft 365 Defender 中获取 DKIM 密钥，请按照以下步骤操作：

所需时间：10 分钟

如何获取 Microsoft 365 DKIM 密钥。

1. 登录 Microsoft 365 Defender

   使用您的管理员凭据登录

2. 转到政策和规则

   展开电子邮件和协作
   点击策略与规则 > 威胁策略
   

   

3. 向下滚动至规则

   点击电子邮件身份验证设置
   

   

4. 单击 DKIM 选项卡

   单击列表中的域a-d.site
   

   

5. 没有为此域保存 DKIM 密钥

   点击“创建 DKIM”密钥
   

   

6. 发布 CNAME

   点击复制以发布DNS 中的 CNAME。返回上述页面启用 DKIM。
   

   

注意：默认情况下，对于您在 Microsoft 365 中添加的每个域，DKIM 处于禁用状态。Microsoft 无法自动启用此功能，因为它取决于添加到服务器的特定 DNS 记录。

2. 将 DKIM CNAME 记录添加到 DNS 服务器

转到域名注册商，并将您之前复制的两条 CNAME 记录添加到您的公共 DNS（域名系统）服务器。

注意：如果您使用其他 DNS 管理基础设施（例如 GoDaddy 等），界面会有所不同，但概念保持不变。

1. 登录您的提供商 (Cloudflare) 并转到 DNS 记录
2. 点击添加记录
3. 选择CNAME
4. 在名称下添加两个主机名

selector1._domainkey
selector2._domainkey

1. 在内容下添加两个 DKIM 选择器（见下文）

selector1-a-d-com._domainkey.ms365info.onmicrosoft.com
selector2-a-d-com._domainkey.ms365info.onmicrosoft.com

注意：等待大约 15 分钟到一个小时，更改才会生效。

3. 启用 DKIM 密钥

返回 Microsoft 365 Defender 为您的域启用 DKIM 密钥：

1. 单击切换至启用
2. 单击确定

已成功为您的 Microsoft 365 域启用 DKIM。

注意：出于安全目的，建议您每 6 个月轮换一次 Microsoft 365 中的 DKIM 密钥。

使用 PowerShell 配置 Microsoft 365 DKIM

让我们看看如何使用 PowerShell 在 DNS 中配置 DKIM 记录。

首先，您需要连接到 Exchange Online PowerShell。

Connect-ExchangeOnline -UserPrincipalName [email protected]

1. 获取 DKIM CNAME 选择器

获取 DKIM 密钥的另一种方法是使用 PowerShell。

PowerShell 语法如下所示。

Get-DkimSigningConfig <domain name> | FL *CNAME

在我们的示例中，我们需要域 a-d.site 的 DKIM CNAME。

Get-DkimSigningConfig "a-d.site" | FL *CNAME

输出显示两个 DKIM CNAME 选择器。

PS C:\> Get-DkimSigningConfig "a-d.site" | FL *CNAME

Selector1CNAME : selector1-a-d-com._domainkey.ms365info.onmicrosoft.com
Selector2CNAME : selector2-a-d-com._domainkey.ms365info.onmicrosoft.com

2. 将 DKIM CNAME 选择器添加到 DNS 服务器

您必须复制上述选择器并将两条 CNAME 记录添加到您的公共 DNS 服务器。

此步骤与之前针对 Microsoft 365 的说明相同。将主机名和选择器添加到 DNS 托管提供商。

3. 为 Microsoft 365 域启用 DKIM

要为域启用 DKIM，您需要运行 Set-DkimSigningConfig cmdlet。

使用以下 PowerShell 语法启用 DKIM。

Set-DkimSigningConfig -Identity <domain> -Enabled $true

在我们的示例中，我们使用相同的域，a-d.site。

Set-DkimSigningConfig -Identity "a-d.site" -Enabled $true

已成功为您的 Microsoft 365 域启用 DKIM。

注意：出于安全目的，建议您每 6 个月轮换一次 Microsoft 365 中的 DKIM 密钥。

验证 DKIM 记录

您可以检查 DKIM 记录是否在 DNS 中正确设置并且不包含任何错误。我们将向您展示验证 DKIM 的不同方法。 MxToolBox 或 Dmarcian 测试仅显示您是否将 DKIM CNAME 正确发布到 DNS 中。它不会测试您是否在 Microsoft 365 Defender 中或使用 PowerShell 启用 DKIM 密钥。因此，您还应该使用 Gmail、DKIMValidator 或 CheckTLS 发送测试邮件，以测试邮件标头是否包含 DKIM 身份验证。

使用 MxToolbox 检查 DKIM CNAME 记录

检查您是否为 Microsoft 365 域正确配置了 DKIM CNAME 记录。您可以在 MxToolBox 中检查两个 DKIM 选择器。

1. 填写域名
2. 输入选择器1
3. 点击DKIM 查找

DKIM selector1 已正确发布，如下图所示。

在 MxToolBox 中检查 DKIM selector2。

1. 将名称更改为selector2
2. 单击DKIM 查找

这表明 DKIM 选择器 2 有效。

您已成功配置 Microsoft 365 域的 DKIM 记录！

有时，即使您在 DNS 中正确发布了 DKIM 选择器 2，也无法找到它。让我们在下一步中看看这个。

未找到 DKIM 记录

检查选择器 2 的 DKIM 记录时，结果显示未找到 DKIM 记录。

如果你也遇到这个问题，并不意味着你的选择器2是错误的。 找不到选择器 2 的 DKIM 记录的解决方案是轮换 DKIM 密钥。

按照以下步骤轮换 DKIM 密钥：

1. 转到 Microsoft 365 Defender
2. 展开电子邮件和协作
3. 单击策略与规则 > 威胁策略
4. 点击电子邮件身份验证设置
5. 单击DKIM选项卡
6. 点击域 a-d.site
7. 点击轮换 DKIM 密钥

注意：等待几分钟并再次检查 MxToolBox 中的DKIM 选择器2。现在结果将显示找到的 DKIM 记录。

使用 Dmarcian 检查 DKIM 记录

使用 Dmarcian DKIM 检查您的 DKIM 记录：

1. 输入您的域名
2. 输入选择器1
3. 单击检查 DKIM

向下滚动查看 DKIM 选择器 1 的结果。

1. DKIM 记录有效

还要检查您的 DKIM 选择器 2。

1. 将名称更改为selector2
2. 单击检查 DKIM

向下滚动查看 DKIM 选择器 2 结果。

1. 它表明DKIM记录有效

注意：上述测试（MxToolBox 和 Dmarcian）仅显示您是否将 DKIM 记录正确发布到 DNS 中。即使测试结果为绿色并且找到了 DKIM 记录，它也不会检查 DKIM 密钥是否启用。因此，您需要使用 Gmail、DKIMValidator 和 CheckTLS 验证 DKIM 身份验证。

使用 Gmail 验证 DKIM

为了验证发送到目标收件人的电子邮件包含 DKIM 身份验证，我们需要发送测试邮件并分析邮件标头。

在我们的示例中，电子邮件地址为 [email protected] 的组织发件人向具有 Gmail 地址的外部收件人发送电子邮件。

我们的例子：

• 组织发件人：[email protected]
• 外部收件人：[email protected]

转到收件人收件箱查看电子邮件标头：

1. 打开电子邮件
2. 单击三个点
3. 点击显示原始内容

DKIM签名信息显示：

1. 通过域 a-d.site

Gmail 原始邮件不会显示 DKIM 是否未通过测试，但会删除整个 DKIM 行。因此，当您在原始消息中找不到 DKIM 时，则意味着您没有设置它，或者配置不正确。

注意：如果您忘记在 Microsoft 365 Defender 中启用 DKIM 密钥，您将不会在 Gmail 原始邮件中看到 DKIM 行。

使用 DKIMValidator 进行验证

还有 DKIM 验证站点来验证您在电子邮件服务器上是否正确配置了 DKIM。使用DKIMValidator，您可以发送测试邮件来查看 DKIM 结果是通过还是未通过测试。

1. 前往 DKIMValidator
2. 复制电子邮件地址

1. 将电子邮件地址粘贴到收件人字段中
2. 输入主题测试 DKIM
3. 输入内容
4. 发送电子邮件

1. 返回DKIMValidator测试
2. 点击查看结果

1. 验证您是否看到原始邮件内容

1. 向下滚动到DKIM 信息 - DKIM 签名

它显示正确的域 a-d.site 和签署电子邮件的 DKIM selector1 主机名。

底部的验证签名显示结果=通过。

使用 CheckTLS 验证 DKIM

使用 CheckTLS 工具在邮件标头中测试您的 DKIM 身份验证：

1. 转到检查TLS
2. 单击选择要显示的额外项目
3. 选择DKIM 信息
4. 单击启动侦听器

在我们的示例中，我们将从 [email protected] 发送电子邮件。

如何发送测试电子邮件：

1. 将地址复制并粘贴到 [email protected]
2. 将密码复制并粘贴到电子邮件主题中
3. 在消息中输入DKIM

1. 创建包含所需信息的新电子邮件
2. 发送测试电子邮件

发送电子邮件后，您需要检查收件箱，因为您将收到一封来自 CheckTLS 的电子邮件。

1. 打开来自 CheckTLS 的电子邮件以查看 DKIM 报告
2. 结果显示DKIM：pass：signature result=pass电子邮件已成功发送

常见问题 (FAQ)

我需要实施 DKIM 吗？

是的，为您的域实施 DKIM 至关重要。对公共邮件基础设施不采取任何保护措施的后果可能是严重且具有破坏性的。您的电子邮件可能存在送达问题、被拒绝或进入收件人的垃圾文件夹。

什么是 DKIM 选择器？

DKIM 选择器是一个由租户名称和 onmicrosoft.com 域名组成的字符串。

什么是 DKIM CNAME？

为您的域设置 DKIM 时，您必须在 DNS 托管提供商处添加 CNAME 记录。对于 Microsoft 365，selector1._domainkey 和 selector2._domainkey 是公共域的出站 DKIM 签名电子邮件使用的主机名。

DKIM 是唯一需要设置的电子邮件身份验证方法吗？

DKIM 只是三种电子邮件身份验证方法中的一部分。每个组织都应实施邮件安全标准 SPF、DKIM 和 DMARC。

结论

您了解了如何为 Microsoft 365 配置 DKIM 记录。首先，在 Microsoft 365 Defender 中或使用 PowerShell 为您的域创建 DKIM 密钥。接下来，在 DNS 中添加并发布 CNAME 记录选择器 1 和选择器 2。 15 分钟后，启用 DKIM 密钥。

通过使用 MxToolBox 或 Dmarcian 执行 DKIM 测试来验证您发布了有效的 DKIM 记录。另外，请记住通过发送电子邮件来检查 DKIM 身份验证，以使用 Gmail、DKIMValidator 或 CheckTLS 测试邮件标头。

您喜欢这篇文章吗？您可能还喜欢配置 WordPress SMTP 以通过 Microsoft 365 发送电子邮件。不要忘记关注我们并分享这篇文章。