Uso di DKIM per convalidare la posta in uscita inviati dal tuo dominio personalizzato

• 10/8/2019
• 13 minuti a leggere
• • M
  • D
  • c
  • m
  • D
  • +12

Sommario: Questo articolo viene descritto come utilizzare DomainKeys identified Mail (DKIM) con Microsoft office 365 per garantire che la destinazione dei sistemi di posta elettronica fiducia messaggi inviati in uscita dal tuo dominio personalizzato.,

Dovresti usare DKIM oltre a SPF e DMARC per evitare che gli spoofer inviino messaggi che sembrano provenire dal tuo dominio. DKIM consente di aggiungere una firma digitale ai messaggi e-mail in uscita nell’intestazione del messaggio. Può sembrare complicato, ma in realtà non lo è. Quando configuri DKIM, autorizzi il tuo dominio ad associare o firmare il suo nome a un messaggio e-mail utilizzando l’autenticazione crittografica. I sistemi di posta elettronica che ricevono e-mail dal tuo dominio possono utilizzare questa firma digitale per determinare se l’e-mail in arrivo che ricevono è legittima.,

Fondamentalmente, si utilizza una chiave privata per crittografare l’intestazione nell’e-mail in uscita del dominio. Si pubblica una chiave pubblica per i record DNS del dominio che i server riceventi possono quindi utilizzare per decodificare la firma. Usano la chiave pubblica per verificare che i messaggi provengano davvero da te e non provengano da qualcuno che spoofing il tuo dominio.

Microsoft 365 imposta automaticamente DKIM per il suo ‘onmicrosoft.com” domini. Ciò significa che non è necessario fare nulla per impostare DKIM per i nomi di dominio iniziali (ad esempio, litware.onmicrosoft.com)., Per ulteriori informazioni sui domini, vedere Domains FAQ.

Puoi scegliere di non fare nulla su DKIM anche per il tuo dominio personalizzato. Se non si imposta DKIM per il dominio personalizzato, Microsoft 365 crea una coppia di chiavi privata e pubblica, abilita la firma DKIM e quindi configura il criterio predefinito di Microsoft 365 per il dominio personalizzato., Mentre questa è una copertura sufficiente per la maggior parte dei clienti, si deve configurare manualmente DKIM per il tuo dominio personalizzato nei seguenti casi:

• Si dispone di più di un dominio personalizzato in Microsoft 365

• Si sta per impostare DMARC troppo (raccomandato)

• Si vuole il controllo sopra la vostra chiave privata

• vuoi personalizzare il tuo record CNAME

• Si desidera impostare DKIM chiavi per email originari di un dominio di terze parti, ad esempio, se si utilizza un terzo bulk mailer.,nually impostare DKIM

• Per configurare DKIM per più di un dominio personalizzato

• Disabilitare il DKIM politica per un dominio personalizzato

• il comportamento Predefinito per DKIM e Microsoft office 365

• Impostare DKIM, in modo che un servizio di terze parti in grado di inviare, o parodia, e-mail, a nome del tuo dominio personalizzato

• il Prossimo passo: Dopo aver impostato DKIM per Microsoft 365

Come DKIM funziona meglio di SPF solo per impedire attacchi di spoofing

SPF aggiunge le informazioni di un messaggio, busta, ma DKIM effettivamente cifra una firma all’interno dell’intestazione del messaggio., Quando si inoltra un messaggio, porzioni della busta del messaggio possono essere rimosse dal server di inoltro. Poiché la firma digitale rimane con il messaggio e-mail perché fa parte dell’intestazione e-mail, DKIM funziona anche quando un messaggio è stato inoltrato come mostrato nell’esempio seguente.

In questo esempio, se hai pubblicato solo un record SPF TXT per il tuo dominio, il server di posta del destinatario potrebbe aver contrassegnato la tua email come spam e generato un risultato falso positivo. L’aggiunta di DKIM in questo scenario riduce la segnalazione di spam falsi positivi., Poiché DKIM si basa sulla crittografia a chiave pubblica per autenticare e non solo gli indirizzi IP, DKIM è considerato una forma di autenticazione molto più forte di SPF. Si consiglia di utilizzare sia SPF e DKIM, così come DMARC nella distribuzione.

The nitty gritty: DKIM utilizza una chiave privata per inserire una firma crittografata nelle intestazioni dei messaggi. Il dominio di firma, o dominio in uscita, viene inserito come valore del campo d= nell’intestazione. Il dominio di verifica o il dominio del destinatario, quindi utilizzare il campo d= per cercare la chiave pubblica dal DNS e autenticare il messaggio., Se il messaggio è verificato, il controllo DKIM passa.

Aggiorna manualmente le chiavi a 1024 bit alle chiavi di crittografia DKIM a 2048 bit

Poiché sia 1024 che 2048 bit sono supportati per le chiavi DKIM, queste istruzioni ti diranno come aggiornare la tua chiave a 1024 bit a 2048. I passaggi seguenti sono per due casi d’uso, si prega di scegliere quello che meglio si adatta alla configurazione.

1. Quando si dispone già di DKIM configurato, si ruota bitness come segue:

   1. Connettersi ai carichi di lavoro di Office 365 tramite PowerShell. (Il cmdlet proviene da Exchange Online.,)

   2. Eseguire il seguente comando:

      Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid of the existing Signing Config}

2. Oppure per una nuova implementazione di DKIM:

   1. Connettersi ai carichi di lavoro di Office 365 tramite PowerShell. (Questo è un cmdlet di Exchange Online.)

   2. Eseguire il seguente comando:

      New-DkimSigningConfig -DomainName {Domain for which config is to be created} -KeySize 2048 -Enabled $True

Resta connesso a Microsoft 365 per verificare la configurazione.,

1. Esegui il seguente comando:

   Get-DkimSigningConfig -Identity {Domain for which the configuration was set} | Format-List

Se si desidera ruotare al secondo selettore, le opzioni sono a) lasciare che il servizio Microsoft 365 ruotare il selettore e l’aggiornamento a 2048-bitness entro i prossimi 6 mesi, o b) dopo 4 giorni e confermando che 2048-bitness è in uso, ruotare manualmente il secondo tasto di selezione utilizzando il cmdlet appropriato elencato sopra.,

i Passi che dovete fare per impostare manualmente DKIM

Per configurare DKIM, completare la procedura seguente:

• di Pubblicare due record CNAME per il tuo dominio personalizzato DNS

• Attivare DKIM per il tuo dominio personalizzato

Pubblica due record CNAME per il tuo dominio personalizzato DNS

Per ogni dominio per il quale si desidera aggiungere una firma DKIM in DNS, è necessario pubblicare due record CNAME.,

Eseguire i seguenti comandi per creare i record del selettore:

Se è stato eseguito il provisioning di domini personalizzati oltre al dominio iniziale in Microsoft 365, è necessario pubblicare due record CNAME per ogni dominio aggiuntivo. Quindi, se hai due domini, devi pubblicare due record CNAME aggiuntivi e così via.

Utilizzare il seguente formato per i record CNAME.,

Dove:

• Per Microsoft 365, i selettori saranno sempre “selector1” o “selector2”.

• domainGUID è lo stesso come il domainGUID personalizzato record MX per il dominio personalizzato che viene visualizzato prima mail.protection.outlook.com. Per esempio, nel seguente record MX per il dominio contoso.com il domainGUID è contoso-com:

  contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

• initialDomain è il dominio che hai utilizzato quando ti sei registrato per Microsoft office 365., I domini iniziali terminano sempre in onmicrosoft.com.Per informazioni sulla determinazione del dominio iniziale, vedere Domains FAQ.

Ad esempio, se si dispone di un dominio iniziale di cohovineyardandwinery.onmicrosoft.com, e due domini personalizzati cohovineyard.com e cohowinery.com, è necessario impostare due record CNAME per ogni dominio aggiuntivo, per un totale di quattro record CNAME.

Host name: selector1._domainkeyPoints to address or value: selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.comTTL: 3600Host name: selector2._domainkeyPoints to address or value: selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.comTTL: 3600Host name: selector1._domainkeyPoints to address or value: selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.comTTL: 3600Host name: selector2._domainkeyPoints to address or value: selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.comTTL: 3600

Abilita la firma DKIM per il tuo dominio personalizzato

Una volta pubblicati i record CNAME in DNS, sei pronto per abilitare la firma DKIM tramite Microsoft 365. È possibile farlo tramite Microsoft 365 admin center o utilizzando PowerShell.,

Per abilitare la firma DKIM per il tuo dominio personalizzato tramite admin center

1. Accedi a Microsoft 365 con il tuo account di lavoro o scuola.

2. Selezionare l’icona di avvio app in alto a sinistra e scegliere Admin.

3. Nella navigazione in basso a sinistra, espandere Admin e scegliere Exchange.

4. Vai a Protezione > dkim.

5. Selezionare il dominio per il quale si desidera abilitare DKIM e quindi, per i messaggi di firma per questo dominio con firme DKIM, scegliere Abilita. Ripetere questo passaggio per ogni dominio personalizzato.,

Per abilitare la firma DKIM per il tuo dominio personalizzato utilizzando PowerShell

1. Connettiti a Exchange Online PowerShell.,

2. Eseguire il seguente comando:

   Set-DkimSigningConfig -Identity <domain> -Enabled $true

   Dove dominio è il nome del dominio personalizzato per il quale si desidera abilitare la firma DKIM.

   Ad esempio, per il dominio contoso.com:

   Set-DkimSigningConfig -Identity contoso.com -Enabled $true

Per confermare che la firma DKIM sia configurata correttamente per Microsoft 365

Attendere alcuni minuti prima di seguire questi passaggi per confermare di aver configurato correttamente DKIM. Ciò consente il tempo per le informazioni DKIM sul dominio da diffondere in tutta la rete.,

• Invia un messaggio da un account all’interno del dominio abilitato per Microsoft 365 DKIM a un altro account di posta elettronica, ad esempio outlook.com oppure Hotmail.com.

• Non utilizzare un aol.com conto per scopi di test. AOL può saltare il controllo DKIM se il controllo SPF passa. Questo annullerà il tuo test.

• Apri il messaggio e guarda l’intestazione. Le istruzioni per la visualizzazione dell’intestazione del messaggio variano a seconda del client di messaggistica. Per istruzioni sulla visualizzazione delle intestazioni dei messaggi in Outlook, vedere Visualizza intestazioni dei messaggi Internet in Outlook.,

  Il messaggio firmato DKIM conterrà il nome host e il dominio definiti al momento della pubblicazione delle voci CNAME. Il messaggio sarà simile a questo esempio:

   From: Example User <[email protected]> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; s=selector1; d=contoso.com; t=1429912795; h=From:To:Message-ID:Subject:MIME-Version:Content-Type; bh=<body hash>; b=<signed field>;

• Cerca l’intestazione Authentication-Results. Mentre ogni servizio di ricezione utilizza un formato leggermente diverso per timbrare la posta in arrivo, il risultato dovrebbe includere qualcosa come DKIM=pass o DKIM=OK.,

Per configurare DKIM per più di un dominio personalizzato

Se in futuro si decide di aggiungere un altro dominio personalizzato e si desidera abilitare DKIM per il nuovo dominio, è necessario completare i passaggi in questo articolo per ogni dominio. In particolare, completa tutti i passaggi di Ciò che devi fare per configurare manualmente DKIM.

Disabilitare il criterio di firma DKIM per un dominio personalizzato

Disabilitare il criterio di firma non disabilita completamente DKIM. Dopo un periodo di tempo, Microsoft 365 applicherà automaticamente i criteri predefiniti per il dominio., Per ulteriori informazioni, vedere Comportamento predefinito per DKIM e Microsoft 365.

Per disabilitare il criterio di firma DKIM utilizzando Windows PowerShell

Comportamento predefinito per DKIM e Microsoft 365

Se non si abilita DKIM, Microsoft 365 crea automaticamente una chiave pubblica DKIM a 1024 bit per il dominio predefinito e la chiave privata associata che memorizziamo internamente nel nostro datacenter. Per impostazione predefinita, Microsoft 365 utilizza una configurazione di firma predefinita per i domini che non dispongono di un criterio., Ciò significa che se non si imposta DKIM da soli, Microsoft 365 utilizzerà i criteri predefiniti e le chiavi create per abilitare DKIM per il dominio.

Inoltre, se si disattiva la firma DKIM dopo averla abilitata, dopo un periodo di tempo, Microsoft 365 applicherà automaticamente i criteri predefiniti per il dominio.

Nell’esempio seguente, supponiamo che DKIM per fabrikam.com è stato abilitato da Microsoft 365, non dall’amministratore del dominio. Ciò significa che i CNAME richiesti non esistono nel DNS., Le firme DKIM per l’e-mail da questo dominio saranno simili a queste:

In questo esempio, il nome host e il dominio contengono i valori a cui il CNAME punterebbe se DKIM-signing per fabrikam.com era stato abilitato dall’amministratore del dominio. Alla fine, ogni singolo messaggio inviato da Microsoft 365 verrà firmato DKIM. Se abiliti DKIM da solo, il dominio sarà lo stesso del dominio nell’indirizzo From:, in questo caso fabrikam.com. Se non lo fai, non si allineerà e utilizzerà invece il dominio iniziale della tua organizzazione., Per informazioni sulla determinazione del dominio iniziale, vedere Domains FAQ.

Configura DKIM in modo che un servizio di terze parti possa inviare, o falsificare, e-mail per conto del tuo dominio personalizzato

Alcuni fornitori di servizi di posta elettronica di massa, o fornitori di servizi software-as-a-service, ti consentono di impostare chiavi DKIM per e-mail che provengono dal loro servizio. Ciò richiede un coordinamento tra te e la terza parte per impostare i record DNS necessari. Alcuni server di terze parti possono avere i propri record CNAME con diversi selettori. Non ci sono due organizzazioni lo fanno esattamente allo stesso modo., Invece, il processo dipende interamente dall’organizzazione.

Un messaggio di esempio che mostra un DKIM configurato correttamente per contoso.com e bulkemailprovider.com potrebbe essere simile a questo:

In questo esempio, per ottenere questo risultato:

1. Il provider di posta elettronica di massa ha dato a Contoso una chiave DKIM pubblica.

2. Contoso ha pubblicato la chiave DKIM per il suo record DNS.

3. Quando si invia e-mail, il provider di posta elettronica di massa firma la chiave con la chiave privata corrispondente. In questo modo, il provider di posta elettronica di massa ha allegato la firma DKIM all’intestazione del messaggio.,

4. I sistemi di ricezione e-mail eseguono un controllo DKIM autenticando il valore DKIM-Signature d=<domain> contro il dominio nel From: (5322.Da) indirizzo del messaggio. In questo esempio, i valori corrispondono:

   d=contoso.,com

Identificare i domini che non inviano e-mail

Le organizzazioni devono indicare esplicitamente se un dominio non invia e-mail specificandov=DKIM1; p= nel record DKIM per tali domini. Questo consiglia di ricevere i server di posta elettronica che non ci sono chiavi pubbliche valide per il dominio e qualsiasi email che dichiara di provenire da quel dominio dovrebbe essere rifiutata. Dovresti farlo per ogni dominio e sottodominio usando un jolly DKIM.,

Ad esempio, il record DKIM sarà simile a questo:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Sebbene DKIM sia progettato per aiutare a prevenire lo spoofing, DKIM funziona meglio con SPF e DMARC. Una volta impostato DKIM, se non hai già impostato SPF dovresti farlo. Per una rapida introduzione a SPF e per configurarlo rapidamente, vedere Impostare SPF in Microsoft 365 per prevenire lo spoofing., Per una comprensione più approfondita di come Microsoft 365 utilizza SPF, o per la risoluzione dei problemi o distribuzioni non standard come distribuzioni ibride, iniziare con Come Microsoft 365 utilizza Sender Policy Framework (SPF) per prevenire lo spoofing. Quindi, vedere Usa DMARC per convalidare la posta elettronica. Le intestazioni dei messaggi antispam includono la sintassi e i campi di intestazione utilizzati da Microsoft 365 per i controlli DKIM.