Configurar o DKIM para assinar correio a partir do seu domínio do Microsoft 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
DomainKeys Identified Mail (DKIM) é um método de autenticação de e-mail que ajuda a validar o e-mail enviado pela sua organização do Microsoft 365 para impedir remetentes falsificados que são utilizados em comprometimento de e-mail empresarial (BEC), ransomware e outros ataques de phishing.
O principal objetivo do DKIM é verificar se uma mensagem não foi alterada em trânsito. Especificamente:
- Uma ou mais chaves privadas são geradas para um domínio e são utilizadas pelo sistema de e-mail de origem para assinar digitalmente partes importantes das mensagens de saída. Estas partes da mensagem incluem:
- De, Para, Assunto, Versão do MIME, Tipo de Conteúdo, Data e outros campos de cabeçalho da mensagem (dependendo do sistema de e-mail de origem).
- O corpo da mensagem.
- A assinatura digital é armazenada no campo de cabeçalho DKIM-Signature no cabeçalho da mensagem e permanece válida, desde que os sistemas de e-mail intermédios não modifiquem as partes assinadas da mensagem. O domínio de assinatura é identificado pelo valor d= no campo cabeçalho DKIM-Signature .
- As chaves públicas correspondentes são armazenadas em registos DNS para o domínio de assinatura (registos CNAME no Microsoft 365; outros sistemas de e-mail podem utilizar registos TXT).
- Os sistemas de e-mail de destino utilizam o valor d= no campo de cabeçalho DKIM-Signature para:
- Identifique o domínio de assinatura.
- Procure a chave pública no registo DNS DKIM do domínio.
- Utilize a chave pública no registo DNS DKIM do domínio para verificar a assinatura da mensagem.
Factos importantes sobre o DKIM:
- O domínio utilizado para assinar a mensagem no DKIM não é necessário para corresponder ao domínio nos endereços MAIL FROM ou From na mensagem. Para obter mais informações sobre estes endereços, consulte Por que motivo o e-mail da Internet precisa de autenticação.
- Uma mensagem pode ter múltiplas assinaturas DKIM por domínios diferentes. Na verdade, muitos serviços de e-mail alojados assinam a mensagem com o domínio de serviço e, em seguida, assinam a mensagem novamente com o domínio do cliente depois de o cliente configurar a assinatura de DKIM para o domínio.
Antes de começarmos, eis o que precisa de saber sobre o DKIM no Microsoft 365 com base no seu domínio de e-mail:
Se utilizar apenas o domínio do Endereço de Encaminhamento do Microsoft Online Email (MOERA) para e-mail (por exemplo, contoso.onmicrosoft.com): não precisa de fazer nada. A Microsoft cria automaticamente um par de chaves públicas-privadas de 2048 bits a partir do seu domínio *.onmicrosoft.com inicial. As mensagens de saída são assinadas automaticamente com a chave privada. A chave pública é publicada num registo DNS para que os sistemas de e-mail de destino possam verificar a assinatura DKIM das mensagens.
No entanto, também pode configurar manualmente a assinatura DKIM com o domínio *.onmicrosoft.com. Para obter instruções, consulte a secção Utilizar o portal do Defender para personalizar a assinatura DKIM de mensagens de saída com a secção *.onmicrosoft.com domínio mais à frente neste artigo.
Para verificar se as mensagens de saída são assinadas automaticamente pelo DKIM, consulte a secção Verificar a assinatura DKIM do e-mail de saída do Microsoft 365 mais à frente neste artigo.
Para obter mais informações sobre os domínios *.onmicrosoft.com, consulte Por que motivo tenho um domínio "onmicrosoft.com"?
Se utilizar um ou mais domínios personalizados para e-mail (por exemplo, contoso.com): Apesar de todo o e-mail de saída do Microsoft 365 ser assinado automaticamente pelo domínio MOERA, ainda tem mais trabalho a fazer para obter a máxima proteção de e-mail:
Configurar a assinatura DKIM com domínios personalizados ou subdomínios: uma mensagem tem de ser DKIM assinada pelo domínio no endereço De. Também recomendamos que configure o DMARC e o DKIM passe a validação DMARC apenas se o domínio que o DKIM assinou a mensagem e o domínio no endereço De alinhar.
Considerações sobre subdomínios:
Para serviços de e-mail que não estejam sob o seu controlo direto (por exemplo, serviços de e-mail em massa), recomendamos que utilize um subdomínio (por exemplo, marketing.contoso.com) em vez do domínio de e-mail principal (por exemplo, contoso.com). Não quer que os problemas com o correio enviado a partir desses serviços de e-mail afetem a reputação do correio enviado pelos funcionários no seu domínio de e-mail principal. Para obter mais informações sobre como adicionar subdomínios, consulte Posso adicionar subdomínios personalizados ou múltiplos domínios ao Microsoft 365?.
Cada subdomínio que utiliza para enviar e-mails do Microsoft 365 requer a sua própria configuração de DKIM.
Sugestão
Email proteção de autenticação para subdomínios não definidos é abrangida pela DMARC. Quaisquer subdomínios (definidos ou não) herdam as definições DMARC do domínio principal (que podem ser substituídas por subdomínio). Para obter mais informações, consulte Configurar o DMARC para validar o domínio de endereço De para remetentes no Microsoft 365.
Se tiver domínios registados, mas não utilizados: se tiver domínios registados que não são utilizados para e-mail ou qualquer coisa (também conhecidos como domínios estacionados), não publique registos DKIM para esses domínios. A falta de um registo DKIM (por conseguinte, a falta de uma chave pública no DNS para validar a assinatura da mensagem) impede a validação do DKIM de domínios falsificados.
O DKIM por si só não é suficiente. Para obter o melhor nível de proteção de e-mail para os seus domínios personalizados, também tem de configurar o SPF e o DMARC como parte da sua estratégia geral de autenticação de e-mail . Para obter mais informações, consulte a secção Passos Seguintes no final deste artigo.
O resto deste artigo descreve os registos CNAME de DKIM que precisa de criar para domínios personalizados no Microsoft 365 e os procedimentos de configuração para DKIM através de domínios personalizados.
Sugestão
Configurar a assinatura DKIM com um domínio personalizado é uma mistura de procedimentos no Microsoft 365 e procedimentos na entidade de registo de domínios do domínio personalizado.
Fornecemos instruções para criar registos CNAME para diferentes serviços do Microsoft 365 em muitas entidades de registo de domínios. Pode utilizar estas instruções como ponto de partida para criar os registos CNAME do DKIM. Para obter mais informações, veja Adicionar registos DNS para ligar o seu domínio.
Se não estiver familiarizado com a configuração de DNS, contacte a entidade de registo de domínios e peça ajuda.
Sintaxe para registos CNAME DKIM
Sugestão
Utilize o portal do Defender ou o Exchange Online PowerShell para ver os valores CNAME necessários para a assinatura DKIM de mensagens de saída com um domínio personalizado. Os valores aqui apresentados são apenas para ilustração. Para obter os valores necessários para os seus domínios personalizados ou subdomínios, utilize os procedimentos mais adiante neste artigo.
O DKIM é descrito exaustivamente em RFC 6376.
A sintaxe básica dos registos CNAME DKIM para domínios personalizados que enviam correio do Microsoft 365 é:
Hostname: selector1._domainkey
Points to address or value: selector1-<CustomDomain>._domainkey.<InitialDomain>
Hostname: selector2._domainkey
Points to address or value: selector2-<CustomDomain>._domainkey.<InitialDomain>
No Microsoft 365, são gerados dois pares de chaves público-privado quando a assinatura DKIM com um domínio personalizado ou subdomínio está ativada. As chaves privadas que são utilizadas para assinar a mensagem estão inacessíveis. Os registos CNAME apontam para as chaves públicas correspondentes que são utilizadas para verificar a assinatura DKIM. Estes registos são conhecidos como seletores.
- Apenas um seletor está ativo e é utilizado quando a assinatura DKIM com um domínio personalizado está ativada.
- O segundo seletor está inativo. É ativado e utilizado apenas após qualquer rotação de chave DKIM futura e, em seguida, apenas após a desativação do seletor original.
O seletor utilizado para verificar a assinatura DKIM (que infere a chave privada que foi utilizada para assinar a mensagem) é armazenado no valor s= no campo de cabeçalho DKIM-Signature (por exemplo,
s=selector1-contoso-com
).Nome do anfitrião: os valores são os mesmos para todas as organizações do Microsoft 365:
selector1._domainkey
eselector2._domainkey
.<CustomDomain>: o domínio personalizado ou subdomínio com períodos substituídos por travessões. Por exemplo,
contoso.com
torna-secontoso-com
, oumarketing.contoso.com
torna-semarketing-contoso-com
.<InitialDomain>: o *.onmicrosoft.com que utilizou quando se inscreveu no Microsoft 365 (por exemplo, contoso.onmicrosoft.com).
Por exemplo, a sua organização tem os seguintes domínios no Microsoft 365:
- Domínio inicial: cohovineyardandwinery.onmicrosoft.com
- Domínios personalizados: cohovineyard.com e cohowinery.com
Tem de criar dois registos CNAME em cada domínio personalizado, num total de quatro registos CNAME:
Registos CNAME no domínio cohovineyard.com:
Nome do anfitrião:
selector1._domainkey
Aponta para o endereço ou valor:selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Nome do anfitrião:
selector2._domainkey
Aponta para o endereço ou valor:selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Registos CNAME no domínio cohowinery.com:
Nome do anfitrião:
selector1._domainkey
Aponta para o endereço ou valor:selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Nome do anfitrião:
selector2._domainkey
Aponta para o endereço ou valor:selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
Configurar a assinatura DKIM de mensagens de saída no Microsoft 365
Utilizar o portal do Defender para ativar a assinatura DKIM de mensagens de saída com um domínio personalizado
Sugestão
Ativar a assinatura DKIM de mensagens de saída através de um domínio personalizado muda efetivamente a assinatura DKIM da utilização do domínio *.onmicrosoft.com inicial para a utilização do domínio personalizado.
Pode utilizar um domínio personalizado ou subdomínio para assinar correio de saída do DKIM apenas depois de o domínio ter sido adicionado com êxito ao Microsoft 365. Para obter instruções, veja Adicionar um domínio.
O principal fator que determina quando um domínio personalizado inicia a assinatura de correio de saída do DKIM é a deteção de registos CNAME no DNS.
Para utilizar os procedimentos nesta secção, o domínio personalizado ou subdomínio tem de aparecer no separador DKIM da página de definições de autenticação Email em https://security.microsoft.com/authentication?viewid=DKIM. As propriedades do domínio na lista de opções de detalhes têm de conter os seguintes valores:
- O botão de alternar Assinar mensagens para este domínio com assinaturas DKIM está definido como Desativado .
- O valor Estado é Não assinar assinaturas DKIM para o domínio.
- A opção Criar chaves DKIM não está presente. Rodar as teclas DKIM está visível, mas está desativada.
Continue se o domínio satisfizer estes requisitos.
No portal do Defender em https://security.microsoft.com, aceda à página Políticas de colaboração>Email & & regras>Políticas> de ameaças Email página de definições de autenticação. Em alternativa, para aceder diretamente à página de definições de autenticação Email, utilize https://security.microsoft.com/authentication.
Na página Email definições de autenticação, selecione o separador DKIM.
No separador DKIM , selecione o domínio personalizado a configurar ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.
Na lista de opções de detalhes do domínio que é aberta, selecione o seletor Assinar mensagens para este domínio com assinaturas DKIM que está atualmente definido como Desativado .
Anote o valor Data da última verificação .
É aberta uma caixa de diálogo Erro de cliente . O erro contém os valores a utilizar nos dois registos CNAME que criar na entidade de registo de domínios do domínio.
Neste exemplo, o domínio personalizado é contoso.com e o domínio inicial da organização do Microsoft 365 é contoso.onmicrosoft.com. A mensagem de erro tem o seguinte aspeto:
|Microsoft.Exchange.ManagementTasks.ValidationException|CNAME record does not exist for this config. Please publish the following two CNAME records first. Domain Name : contoso.com Host Name : selector1._domainkey Points to address or value: selector1- contoso-com._domainkey.contoso.onmicrosoft.com Host Name : selector2._domainkey Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com . If you have already published the CNAME records, sync will take a few minutes to as many as 4 days based on your specific DNS. Return and retry this step later.
Por conseguinte, os registos CNAME que precisa de criar no DNS para o domínio contoso.com são:
Nome do anfitrião:
selector1._domainkey
Aponta para o endereço ou valor:selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Nome do anfitrião:
selector2._domainkey
Aponta para o endereço ou valor:selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Copie as informações da caixa de diálogo de erro (selecione o texto, prima Ctrl+C) e, em seguida, selecione OK.
Deixe a lista de opções de detalhes do domínio aberta.
Noutro separador ou janela do browser, aceda à entidade de registo de domínios do domínio e, em seguida, crie os dois registos CNAME com as informações do passo anterior.
Fornecemos instruções para criar registos CNAME para diferentes serviços do Microsoft 365 em muitas entidades de registo de domínios. Pode utilizar estas instruções como ponto de partida para criar os registos CNAME de DKIM. Para obter mais informações, veja Adicionar registos DNS para ligar o seu domínio.
O Microsoft 365 demora alguns minutos (ou possivelmente mais) a detetar os novos registos CNAME que criou.
Após algum tempo, regresse às propriedades do domínio que deixou abertas no Passo 5 e selecione o botão de alternar Assinar mensagens para este domínio com assinaturas DKIM .
Após alguns segundos, é aberta a seguinte caixa de diálogo:
Depois de selecionar OK para fechar a caixa de diálogo, verifique as seguintes definições na lista de opções de detalhes:
- O botão de alternar Assinar mensagens para este domínio com assinaturas DKIM está definido como Ativado .
- O valor Estado é Assinatura de assinaturas DKIM para este domínio.
- A rotação de chaves DKIM está disponível.
- Data da última verificação: a data e hora devem ser mais recentes do que o valor original no Passo 4.
Utilize o portal do Defender para personalizar a assinatura DKIM de mensagens de saída com o domínio *.onmicrosoft.com
Conforme descrito anteriormente neste artigo, o domínio *.onmicrosoft.com inicial é configurado automaticamente para assinar todo o correio de saída da sua organização do Microsoft 365 e deve configurar domínios personalizados para assinatura DKIM de mensagens de saída.
No entanto, também pode utilizar os procedimentos nesta secção para afetar a assinatura de DKIM com o domínio *.onmicrosoft.com:
- Gerar novas chaves. As novas chaves são adicionadas e utilizadas automaticamente nos datacenters do Microsoft 365.
- Fazer com que as propriedades do domínio *.onmicrosoft.com apareçam corretamente na lista de opções de detalhes do domínio no separador DKIM da página de definições de autenticação Email no https://security.microsoft.com/authentication?viewid=DKIM PowerShell ou no PowerShell. Este resultado permite operações futuras na configuração de DKIM para o domínio (por exemplo, rotação manual de chaves).
Para utilizar os procedimentos nesta secção, o domínio *.onmicrosoft.com tem de aparecer no separador DKIM da página de definições de autenticação Email em https://security.microsoft.com/authentication?viewid=DKIM. As propriedades do domínio *.onmicrosoft.com na lista de opções de detalhes têm de conter os seguintes valores:
- O botão de alternar Assinar mensagens para este domínio com assinaturas DKIM não está disponível.
- O valor Estado é Sem chaves DKIM guardadas para este domínio.
- A opção Criar chaves DKIM está presente.
Continue se o domínio satisfizer estes requisitos.
No portal do Defender em https://security.microsoft.com, aceda à página Políticas de colaboração>Email & & regras>Políticas> de ameaças Email página de definições de autenticação. Em alternativa, para aceder diretamente à página de definições de autenticação Email, utilize https://security.microsoft.com/authentication.
Na página Email definições de autenticação, selecione o separador DKIM.
No separador DKIM , selecione o domínio *.onmicrosoft.com a configurar ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.
Na lista de opções de detalhes do domínio que é aberta, selecione Criar chaves DKIM.
Quando a criação da chave DKIM estiver concluída, é aberta a caixa de diálogo Publicar CNAMEs . Selecione Fechar.
Não pode criar os registos CNAME para o domínio *.onmicrosoft.com, pelo que não precisa de copiar os valores. A Microsoft trata da configuração de DNS necessária para si.
Depois de selecionar Fechar, está novamente na lista de opções de detalhes do domínio onde o botão de alternar Assinar mensagens para este domínio com assinaturas DKIM é Desativado .
Deslize o botão Assinar mensagens para este domínio com assinaturas DKIM para Ativado e, em seguida, selecione OK na caixa de diálogo de confirmação que é aberta.
Quando terminar a lista de opções de detalhes do domínio, selecione Fechar.
Utilizar Exchange Online PowerShell para configurar a assinatura DKIM de mensagens de saída
Se preferir utilizar o PowerShell para ativar a assinatura DKIM de mensagens de saída com um domínio personalizado ou personalizar a assinatura DKIM para o domínio *.onmicrosoft.com, ligue-se ao Exchange Online PowerShell para executar os seguintes comandos.
Sugestão
Antes de poder configurar a assinatura DKIM com o domínio personalizado, tem de adicionar o domínio ao Microsoft 365. Para obter instruções, veja Adicionar um domínio. Para confirmar que o domínio personalizado está disponível para configuração de DKIM, execute o seguinte comando: Get-AcceptedDomain
.
Conforme descrito anteriormente neste artigo, o seu domínio *.onmicrosoft.com já está a assinar e-mail de saída por predefinição. Normalmente, a menos que tenha configurado manualmente a assinatura DKIM para o domínio *.onmicrosoft.com no portal do Defender ou no PowerShell, o *.onmicrosoft.com não aparece na saída de Get-DkimSigningConfig.
Execute o seguinte comando para verificar a disponibilidade e o estado do DKIM de todos os domínios na organização:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME
Para o domínio para o qual pretende configurar a assinatura de DKIM, a saída do comando no Passo 1 determina o que precisa de fazer a seguir:
O domínio está listado com os seguintes valores:
- Ativado: Falso
-
Estado:
CnameMissing
Aceda ao Passo 3 para copiar os valores do seletor.
Ou
O domínio não está listado:
Substitua <Domain> pelo valor de domínio e, em seguida, execute o seguinte comando:
New-DkimSigningConfig -DomainName <Domain> -Enabled $false [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>] [-KeySize <1024 | 2048>]
- O parâmetro BodyCanonicalization especifica o nível de confidencialidade para as alterações no corpo da mensagem:
- Relaxado: as alterações no espaço em branco e as alterações em linhas vazias no final do corpo da mensagem são toleradas. Este é o valor predefinido.
- Simples: só são toleradas alterações em linhas vazias no final do corpo da mensagem.
- O parâmetro HeaderCanonicalization especifica o nível de confidencialidade para as alterações no cabeçalho da mensagem:
- Relaxado: as modificações comuns ao cabeçalho da mensagem são toleradas. Por exemplo, a reescritação da linha do campo de cabeçalho, alterações em espaços em branco desnecessários ou linhas vazias e alterações em caso de campos de cabeçalho. Este é o valor predefinido.
- Simples: não são toleradas alterações aos campos de cabeçalho.
- O parâmetro KeySize especifica o tamanho do bit da chave pública no registo DKIM:
-
- Este é o valor predefinido.
-
-
Por exemplo:
New-DkimSigningConfig -DomainName contoso.com -Enabled $false
- O parâmetro BodyCanonicalization especifica o nível de confidencialidade para as alterações no corpo da mensagem:
Execute o comando a partir do Passo 1 novamente para confirmar que o domínio está listado com os seguintes valores de propriedade:
- Ativado: Falso
-
Estado:
CnameMissing
Aceda ao Passo 3 para copiar os valores do seletor.
Copie os valores Selector1CNAME e Selector2CNAME para o domínio a partir da saída do comando do Passo 1.
Os registos CNAME que precisa de criar na entidade de registo de domínios para o domínio têm o seguinte aspeto:
Nome do anfitrião:
selector1._domainkey
Aponta para o endereço ou valor:<Selector1CNAME value>
Nome do anfitrião:
selector2._domainkey
Aponta para o endereço ou valor:<Selector2CNAME value>
Por exemplo:
Nome do anfitrião:
selector1._domainkey
Aponta para o endereço ou valor:selector1-contoso-com._domainkey.contoso.onmicrosoft.com
Nome do anfitrião:
selector2._domainkey
Aponta para o endereço ou valor:selector2-contoso-com._domainkey.contoso.onmicrosoft.com
Execute um dos seguintes passos:
Domínio personalizado: na entidade de registo de domínios do domínio, crie os dois registos CNAME com as informações do passo anterior.
Fornecemos instruções para criar registos CNAME para diferentes serviços do Microsoft 365 em muitas entidades de registo de domínios. Pode utilizar estas instruções como ponto de partida para criar os registos CNAME de DKIM. Para obter mais informações, veja Adicionar registos DNS para ligar o seu domínio.
O Microsoft 365 demora alguns minutos (ou possivelmente mais) a detetar os novos registos CNAME que criou.
*.onmicrosoft.com domínio: vá para o Passo 5.
Após algum tempo, regresse ao Exchange Online PowerShell, substitua <Domínio> pelo domínio que configurou e execute o seguinte comando:
Set-DkimSigningConfig -Identity \<Domain\> -Enabled $true [-BodyCanonicalization <Relaxed | Simple>] [-HeaderCanonicalization <Relaxed | Simple>]
- O parâmetro BodyCanonicalization especifica o nível de confidencialidade para as alterações no corpo da mensagem:
- Relaxado: as alterações no espaço em branco e as alterações em linhas vazias no final do corpo da mensagem são toleradas. Este é o valor predefinido.
- Simples: só são toleradas alterações em linhas vazias no final do corpo da mensagem.
- O parâmetro HeaderCanonicalization especifica o nível de confidencialidade para as alterações no cabeçalho da mensagem:
- Relaxado: as modificações comuns ao cabeçalho da mensagem são toleradas. Por exemplo, a reescritação da linha do campo de cabeçalho, alterações em espaços em branco desnecessários ou linhas vazias e alterações em caso de campos de cabeçalho. Este é o valor predefinido.
- Simples: não são toleradas alterações aos campos de cabeçalho.
Por exemplo:
Set-DkimSigningConfig -Identity contoso.com -Enabled $true
Ou
Set-DkimSigningConfig -Identity contoso.onmicrosoft.com -Enabled $true
Para um domínio personalizado, se o Microsoft 365 conseguir detetar os registos CNAME na entidade de registo de domínios, o comando é executado sem erros e o domínio é agora utilizado para assinar mensagens de saída do DKIM a partir do domínio.
Se os registos CNAME não forem detetados, receberá um erro que contém os valores a utilizar nos registos CNAME. Verifique se existem erros de digitação nos valores na entidade de registo de domínios (fácil de fazer com os traços, períodos e sublinhados!), aguarde um pouco mais e, em seguida, execute novamente o comando.
Para um domínio *.onmicrosoft.com que anteriormente não estava listado, o comando é executado sem erros.
- O parâmetro BodyCanonicalization especifica o nível de confidencialidade para as alterações no corpo da mensagem:
Para verificar se o domínio está agora configurado para mensagens de sinal de DKIM, execute o comando a partir do Passo 1.
O domínio deve ter os seguintes valores de propriedade:
- Ativado: Verdadeiro
-
Estado:
Valid
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja os seguintes artigos:
Rodar chaves DKIM
Pelas mesmas razões pelas quais deve alterar periodicamente as palavras-passe, deve alterar periodicamente a chave DKIM utilizada para a assinatura de DKIM. A substituição da chave DKIM por um domínio é conhecida como rotação de chaves DKIM.
As informações relevantes sobre a rotação de chaves DKIM para um domínio do Microsoft 365 são apresentadas na saída do seguinte comando no Exchange Online PowerShell:
Get-DkimSigningConfig -Identity <CustomDomain> | Format-List
- KeyCreationTime: a data/hora UTC em que o par de chaves públicas-privadas do DKIM foi criado.
- RotateOnDate: a data/hora da rotação da chave DKIM anterior ou seguinte.
-
SelectorBeforeRotateOnDate: lembre-se de que a assinatura DKIM com um domínio personalizado no Microsoft 365 requer dois registos CNAME no domínio. Esta propriedade mostra o registo CNAME que o DKIM utiliza antes da data-hora rotateOnDate (também conhecido como seletor). O valor é
selector1
ouselector2
e é diferente do valor SelectorAfterRotateOnDate . -
SelectorAfterRotateOnDate: mostra o registo CNAME que o DKIM utiliza após a data-hora rotateOnDate . O valor é
selector1
ouselector2
e é diferente do valor SelectorBeforeRotateOnDate .
Quando faz uma rotação de chave DKIM num domínio, conforme descrito nesta secção, a alteração não é imediata. A nova chave privada demora quatro dias (96 horas) a iniciar a assinatura de mensagens (a data/hora de RotateOnDate e o valor SelectorAfterRotateOnDate correspondente). Até lá, é utilizada a chave privada existente (o valor SelectorBeforeRotateOnDate correspondente).
Sugestão
O principal fator que determina quando um domínio personalizado inicia a assinatura de correio de saída do DKIM é a deteção de registos CNAME no DNS.
Para confirmar a chave pública correspondente utilizada para verificar a assinatura DKIM (que infere a chave privada que foi utilizada para assinar a mensagem), verifique o valor s= no campo de cabeçalho DKIM-Signature (o seletor; por exemplo, s=selector1-contoso-com
).
Sugestão
Para domínios personalizados, pode rodar chaves DKIM apenas em domínios que estejam ativados para assinatura DKIM (o valor Estado está Ativado).
Atualmente, não existe uma rotação automática de chaves DKIM para o domínio *.onmicrosoft.com. Pode rodar manualmente as chaves DKIM, conforme descrito nesta secção. Se a opção Rodar chaves DKIM não estiver disponível nas propriedades do domínio *.onmicrosoft.com, utilize os procedimentos no artigo Utilizar o portal do Defender para personalizar a assinatura DKIM de mensagens de saída com a secção de domínio *.onmicrosoft.com anteriormente neste artigo.
Utilizar o portal do Defender para rodar chaves DKIM para um domínio personalizado
No portal do Defender em https://security.microsoft.com, aceda à página Políticas de colaboração>Email & & regras>Políticas> de ameaças Email página de definições de autenticação. Em alternativa, para aceder diretamente à página de definições de autenticação Email, utilize https://security.microsoft.com/authentication.
Na página Email definições de autenticação, selecione o separador DKIM.
No separador DKIM , selecione o domínio a configurar ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.
Na lista de opções de detalhes do domínio que é aberta, selecione Rodar chaves DKIM.
As definições na lista de opções de detalhes mudam para os seguintes valores:
- Estado: Rodar chaves para este domínio e assinar assinaturas DKIM.
- Rodar as teclas DKIM está desativada.
Após quatro dias (96 horas), a nova chave DKIM começa a assinar mensagens de saída para o domínio personalizado. Até lá, é utilizada a chave DKIM atual.
Pode saber quando a nova chave DKIM está a ser utilizada quando o valor Estado muda de Chaves de rotação para este domínio e assinatura de assinaturas DKIM para Assinatura de assinaturas DKIM para este domínio.
Para confirmar a chave pública correspondente utilizada para verificar a assinatura DKIM (que infere a chave privada que foi utilizada para assinar a mensagem), verifique o valor s= no campo de cabeçalho DKIM-Signature (o seletor; por exemplo, s=selector1-contoso-com
).
Utilize Exchange Online PowerShell para rodar as chaves DKIM para um domínio e alterar a profundidade de bits
Se preferir utilizar o PowerShell para rodar chaves DKIM para um domínio, ligue-se ao Exchange Online PowerShell para executar os seguintes comandos.
Execute o seguinte comando para verificar a disponibilidade e o estado do DKIM de todos os domínios na organização:
Get-DkimSigningConfig | Format-List Name,Enabled,Status,Selector1CNAME,Selector1KeySize,Selector2CNAME,Selector2KeySize,KeyCreationTime,RotateOnDate,SelectorBeforeRotateOnDate,SelectorAfterRotateOnDate
Para o domínio para o qual pretende rodar chaves DKIM, utilize a seguinte sintaxe:
Rotate-DkimSigningConfig -Identity <CustomDomain> [-KeySize <1024 | 2048>]
Se não quiser alterar a profundidade de bits das novas chaves DKIM, não utilize o parâmetro KeySize .
Este exemplo roda chaves DKIM para o domínio contoso.com e altera para uma chave de 2048 bits.
Rotate-DkimSigningConfig -Identity contoso.com -KeySize 2048
Este exemplo roda as chaves DKIM para o domínio contoso.com sem alterar a profundidade do bit de chave.
Rotate-DkimSigningConfig -Identity contoso.com
Execute o comando a partir do Passo 1 novamente para confirmar os seguintes valores de propriedade:
- KeyCreationTime
- RotateOnDate
- SelectorBeforeRotateOnDate
- SelectorAfterRotateOnDate:
Os sistemas de e-mail de destino utilizam a chave pública no registo CNAME identificado pela propriedade SelectorBeforeRotateOnDate para verificar a assinatura DKIM nas mensagens (o que infere a chave privada que foi utilizada para assinar a mensagem no DKIM).
Após a data/hora de RotateOnDate , o DKIM utiliza a nova chave privada para assinar mensagens e os sistemas de e-mail de destino utilizam a chave pública correspondente no registo CNAME identificado pela propriedade SelectorAfterRotateOnDate para verificar a assinatura DKIM nas mensagens.
Para confirmar a chave pública correspondente utilizada para verificar a assinatura DKIM (que infere a chave privada que foi utilizada para assinar a mensagem), verifique o valor s= no campo de cabeçalho DKIM-Signature (o seletor; por exemplo,
s=selector1-contoso-com
).
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja os seguintes artigos:
Desativar a assinatura DKIM de mensagens de saída com um domínio personalizado
Conforme descrito anteriormente neste artigo, ativar a assinatura DKIM de mensagens de saída através de um domínio personalizado muda efetivamente a assinatura DKIM da utilização do domínio *.onmicrosoft.com para a utilização do domínio personalizado.
Quando desativa a assinatura DKIM com um domínio personalizado, não está a desativar completamente a assinatura DKIM para correio de saída. A assinatura DKIM volta eventualmente a utilizar o domínio *.onmicrosoft.
Utilizar o portal do Defender para desativar a assinatura DKIM de mensagens de saída com um domínio personalizado
No portal do Defender em https://security.microsoft.com, aceda à página Políticas de colaboração>Email & & regras>Políticas> de ameaças Email página de definições de autenticação. Em alternativa, para aceder diretamente à página de definições de autenticação Email, utilize https://security.microsoft.com/authentication.
Na página Email definições de autenticação, selecione o separador DKIM.
No separador DKIM , selecione o domínio a configurar ao clicar em qualquer parte da linha que não seja a caixa de verificação junto ao nome.
Na lista de opções de detalhes do domínio que é aberta, deslize o botão Assinar mensagens para este domínio com assinaturas DKIM para Desativado .
Utilizar Exchange Online PowerShell para desativar a assinatura DKIM de mensagens de saída com um domínio personalizado
Se preferir utilizar o PowerShell para desativar a assinatura DKIM de mensagens de saída através de um domínio personalizado, ligue-se ao Exchange Online PowerShell para executar os seguintes comandos.
Execute o seguinte comando para verificar a disponibilidade e o estado do DKIM de todos os domínios na organização:
Get-DkimSigningConfig | Format-List Name,Enabled,Status
Qualquer domínio personalizado para o qual possa desativar a assinatura de DKIM tem os seguintes valores de propriedade:
- Ativado: Verdadeiro
-
Estado:
Valid
Para o domínio para o qual pretende desativar a assinatura de DKIM, utilize a seguinte sintaxe:
Set-DkimSigningConfig -Identity <CustomDomain> -Enabled $false
Este exemplo desativa a assinatura DKIM com o domínio personalizado contoso.com.
Set-DkimSigningConfig -Identity contoso.com -Enabled $false
Verificar a assinatura DKIM do e-mail de saída do Microsoft 365
Sugestão
Antes de utilizar os métodos nesta secção para testar a assinatura DKIM do correio de saída, aguarde alguns minutos após as alterações à configuração do DKIM para permitir a propagação das alterações.
Utilize qualquer um dos seguintes métodos para verificar a assinatura DKIM do e-mail de saída do Microsoft 365:
Envie mensagens de teste e veja os campos de cabeçalho relacionados a partir do cabeçalho da mensagem no sistema de e-mail de destino:
Envie uma mensagem a partir de uma conta no seu domínio compatível com DKIM do Microsoft 365 para um destinatário noutro sistema de e-mail (por exemplo, outlook.com ou gmail.com).
Sugestão
Não envie correio para o AOL para testes de DKIM. O AOL pode ignorar a verificação DKIM se a verificação SPF for aprovada.
Na caixa de correio de destino, veja o cabeçalho da mensagem. Por exemplo:
- Ver cabeçalhos de mensagens da Internet no Outlook.
- Utilize o Analisador de Cabeçalhos de Mensagens em https://mha.azurewebsites.net.
Localize o campo de cabeçalho DKIM-Signature no cabeçalho da mensagem. O campo de cabeçalho tem o seguinte aspeto:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- d=: O domínio que foi utilizado para assinar a mensagem pelo DKIM.
- s=: o seletor (chave pública no registo DNS no domínio) que foi utilizado para desencriptar e verificar a assinatura DKIM da mensagem.
Localize o campo de cabeçalho Authentication-Results no cabeçalho da mensagem. Embora os sistemas de e-mail de destino possam utilizar formatos ligeiramente diferentes para carimbar o correio de entrada, o campo de cabeçalho deve incluir DKIM=pass ou DKIM=OK. Por exemplo:
Authentication-Results: mx.google.com; dkim=pass header.i=@contoso.com header.s=selector1 header.b=NaHRSJOb; arc=pass (i=1 spf=pass spfdomain=contoso.com dkim=pass dkdomain=contoso.com dmarc=pass fromdomain=contoso.com); spf=pass (google.com: domain of michelle@contoso.com designates 0000:000:0000:0000::000 as permitted sender) smtp.mailfrom=michelle@contoso.com
Sugestão
A assinatura DKIM é omitida em qualquer uma das seguintes condições:
- Os endereços de e-mail do remetente e do destinatário estão no mesmo domínio.
- Os endereços de e-mail do remetente e do destinatário estão em domínios diferentes que são controlados pela mesma organização.
Em ambos os casos, o campo de cabeçalho DKIM-Signature não existe no cabeçalho da mensagem e o campo de cabeçalho Authentication-Results tem o seguinte aspeto:
authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=contoso.com;
Utilizar o teste na ajuda do Microsoft 365: esta funcionalidade requer uma conta de Administrador* Global e não está disponível na Cloud da Comunidade Governamental (GCC) do Microsoft 365, GCC High, DoD ou Office 365 operado pela 21Vianet.
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Assinatura DKIM de correio do seu domínio personalizado noutros serviços de e-mail
Alguns fornecedores de serviços de e-mail ou fornecedores de software como serviço permitem-lhe ativar a assinatura DKIM para o seu e-mail com origem no serviço. No entanto, os métodos dependem inteiramente do serviço de e-mail.
Sugestão
Conforme mencionado anteriormente neste artigo, recomendamos a utilização de subdomínios para sistemas de e-mail ou serviços que não controla diretamente.
Por exemplo, o seu domínio de e-mail no Microsoft 365 é contoso.com e utiliza o serviço de correio em massa do Adatum para e-mail de marketing. Se o Adatum suportar a assinatura DKIM de mensagens de remetentes no seu domínio no respetivo serviço, as mensagens poderão conter os seguintes elementos:
Return-Path: <communication@adatum.com>
From: <sender@marketing.contoso.com>
DKIM-Signature: s=s1024; d=marketing.contoso.com
Subject: This a message from the Adatum infrastructure, but with a DKIM signature authorized by marketing.contoso.com
Neste exemplo, são necessários os seguintes passos:
O Adatum dá à Contoso uma chave pública para utilizar para a assinatura DKIM de correio da Contoso de saída a partir do respetivo serviço.
A Contoso publica a chave DKIM pública no DNS na entidade de registo de domínios do subdomínio marketing.contoso.com (um registo TXT ou um registo CNAME).
Quando o Adatum envia e-mails de remetentes no domínio marketing.contoso.com, as mensagens são assinadas pelo DKIM com a chave privada que corresponde à chave pública que deram à Contoso no primeiro passo.
Se o sistema de e-mail de destino verificar o DKIM nas mensagens de entrada, as mensagens passam pelo DKIM porque são assinadas pelo DKIM.
Se o sistema de e-mail de destino verificar dMARC em mensagens de entrada, o domínio na assinatura DKIM (o valor d= no campo de cabeçalho DKIM-Signature ) corresponde ao domínio no endereço De apresentado nos clientes de e-mail, para que as mensagens também possam passar DMARC:
De: sender@marketing.contoso.com
d=: marketing.contoso.com
Passos seguintes
Conforme descrito em Como o SPF, o DKIM e o DMARC trabalham em conjunto para autenticar remetentes de mensagens de e-mail, o DKIM por si só não é suficiente para impedir o spoofing do seu domínio do Microsoft 365. Também tem de configurar o SPF e o DMARC para obter a melhor proteção possível. Para obter instruções, consulte:
Para e-mails recebidos no Microsoft 365, também poderá ter de configurar setores ARC fidedignos se utilizar serviços que modificam mensagens em trânsito antes da entrega na sua organização. Para obter mais informações, veja Configurar sealers ARC fidedignos.
Sugestão
O Exchange 2016 e o Exchange 2019 são conhecidos por modificar mensagens que fluem através das mesmas, o que pode afetar o DKIM.