Ngày nay, sự gia tăng của các mối đe dọa trên mạng là một mối quan tâm lớn, đòi hỏi sự xử lý hiệu quả từ nhà quản trị email. Để ngăn chặn các mối đe dọa mạng khác nhau, bao gồm các cuộc tấn công email giả mạo, mỗi tổ chức cần triển khai DKIM trong Microsoft 365. Khi việc sử dụng email và các khả năng liên tục tăng lên, giao thức này phải đặt cấu hình cho Microsoft 365 để đảm bảo rằng thư đến từ một miền hợp pháp.
DKIM là một trong ba giao thức xác thực (SPF, DMARC và DKIM) trong đó chữ ý số được thêm vòa tất cả các email gửi đi. Để kiểm tra tính kế thừa của miền người gửi, máy chủ người nhận sẽ xác định các chữ ký này. Nó cũng bao gồm một khóa riêng chịu trách nhiệm mã hóa tiêu đề của thư gửi đi. Giao thức này cũng chuyển email của người gửi vào thư mục rác hoặc thư rác. Điều này thường xảy ra khi miền người gửi không vượt qua bài kiểm tra xác thực.
Trong blog này, chúng tối sẽ cung cấp cho bạn hướng dẫn toàn diện để định cấu hình bản ghi DKIM cho Microsoft 365.
Thiết lập DKIM cho Microsoft 365
Việc đặt cấu hình giao thức cụ thể cho Microsoft không yêu cầu trong hai trường hợp dưới đây:
√ Sử dụng miền .onmicrosoft.com mặc định
√ Bạn chỉ có một miền tùy chỉnh
Nhưng nếu bạn không liên quan đến bất kỳ trường hợp nào ở trên, thì bạn có thể đặt cấu hình trong Microsoft 365 thông qua phương pháp thủ công. Quá trình này bao gồm một số giao đoạn như tạo hai bản ghi DKIM, xuất bản chúng cho miền tùy chỉnh của bạn trong DNS và cho phép ký.
Tạo bản ghi DKIM cho Microsoft 365
Tạo bản ghi của giao thức cụ thể khá quan trọng vì nó ánh xạ tên bí danh tới tên miền cụ thể. Để tạo miền tùy chỉnh, bạn phải tạo bản ghi để chỉ ra miền ban đầu. Những hồ sơ này trông giống như sau:
| Tên máy chủ: selector1._domainkey.CompanyDomainName Trỏ tới: selector1-CompanyDomainName-com._domainkey.TenantName.onmicrosoft.com |
| Tên máy chủ: selector2._domainkey.CompanyDomainName Trỏ tới: selector2-CompanyDomainName-com._domainkey.TenantName.onmicrosoft.com |
Nếu tên miền công ty là xyz.com, bạn cần tạo hai bản ghi bên dưới:
| Tên máy chủ: selector1._domainkey.xyz.com Trỏ tới: selector1-company-com._domainkey.company.onmicrosoft.com |
| Tên máy chủ: selector2._domainkey.xyz.com Trỏ tới: selector2-company-com._domainkey.company.onmicrosoft.com |
Xuất bản ghi DKIM trong DNS
Nếu bạn tạo miền tùy chỉnh ngoài miền mặc định, bạn phải xuất bản hai bản ghi cho một miền tùy chỉnh. Đối với điều này, bạn cần sử dụng định dạng sau cho các bản ghi:
| Tên máy chủ: selector1._domainkey Trỏ tới địa chỉ hoặc giá trị: selector1-._domainkey. TTL: 3600 |
| Tên máy chủ: selector2._domainkey Trỏ tới địa chỉ hoặc giá trị: selector2-._domainkey. TTL: 3600 |
Bật ký DKIM
Sau khi thực hiện các bước trên, bạn cần cần kích hoạt đăng nhập Microsoft 365. Bạn có thể thực hiện tương tự bằng hai phương pháp, tức là Microsoft 365 Defender hoặc PowerShell.
Bật tính năng DKIM bằng cổng Microsoft 365 Defender
Nếu bạn muốn kích hoạt tính năng ký này bằng cổng Defender, bạn phải làm theo các bước sau:
- Nhập URL https://security.microsoft.com để đăng nhập vào cổng Microsoft 365 Defender. Nhấp vào Email & Cộng tác -> Chính sách & Quy tắc -> Chính sách đe dọa -> Cài đặt xác thực email -> DKIM . Bạn cũng có thể duyệt qua https://security.microsoft.com/dkimv2 để truy cập trực tiếp vào trang cụ thể.
- Tiếp theo, nhấp vào tên miền muốn kích hoạt
- Cuối cùng, thay đổi Sign messages for this domain with DKIM signtures thành Enabled.
Nếu bạn nhận được thông báo lỗi trong kích hoạt ký bằng cổng Microsoft 365 Defender, thì cũng có một phương pháp khác – PowerShell.
Bật ký DKIM bằng PowerShell
Bạn cũng có thể sử dụng PowerShell để kích hoạt đăng nhập Microsoft 365. Để làm được điều này, bạn cần thực hiện các bước dưới đây:
- Trước tiên, hãy kết nối với Exchange Online PowerShell và chạy lệnh sau : Set-DkimSigningConfig -Identity -Enabled $true
- Ở đây Domain đề cập đến tên tùy chỉnh mà bạn muốn kích hoạt. Nếu tên miền của công ty bạn là abc.com, bạn cần chạy lệnh như sau : Set-DkimSigningConfig -Identity contoso.com -Enabled $true
Xác nhận việc ký DKIM được định cấu hình đúng cách cho Microsoft 365
- Bạn cần đợi sau khi thực hiện các bước trên để lưu thay đổi. Sau đó, hãy đảm bảo rằng việc ký đã được cấu hình thành công cho Microsoft 365.
- Gửi email từ tài khoản cụ thể mà bạn vừa kích hoạt đăng nhập vào tài khoản email khác. Nếu chuyển thành công, nghĩa là việc ký đã được đặt cấu hình cho Microsoft 365.
- Tài khoản AOL có thể bỏ qua bước kiểm tra DKIM. Do đó, bạn không nên sử dụng nó cho mục đích thử nghiệm.
- Nhìn vào tiêu đề trong tin nhắn cụ thể. Nếu nó đã được kích hoạt thành công, bạn có thể thấy tên máy chủ và tên miền trong tin nhắn.
- Nhìn vào tiêu đề Authentication-Results, trong đó phải bao gồm DKIM = pass or OK.
Nhiều tổ chức thiết lập giao thức này cho Microsoft 365 để đảm bảo email được gửi an toàn từ hộp thư của bạn tới hộp thư của khách hàng/đối tác. Bạn có thể thấy một số email đến từ miền cụ thể sẽ chuyển vào thư mục spam hoặc junk. Trên thực tế, giao thức này chịu trách nhiệm trong trường hợp khi hai miền của thư đến không vượt qua các bài kiểm tra xác thực. Trước khi đặt giao thức xác thực này cho Microsoft 365, bạn nên sao lưu hộp thư của mình để tránh mất dữ liệu.