Como configurar a autenticação de e-mail com o Microsoft Office (SPF, DKIM, DMARC)

Autenticação de e-mail do Microsoft Office 365 - SPF, DKIM, DMARC

Estamos vendo cada vez mais problemas de entrega com os clientes nos dias de hoje e muitas empresas não têm Autenticação do email configurar com seus provedores de serviços de e-mail e marketing por e-mail do escritório. A mais recente foi uma empresa de comércio eletrônico com a qual estamos trabalhando que envia suas mensagens de suporte do Microsoft Exchange Server.

Isso é importante porque os e-mails de suporte ao cliente do cliente estão usando essa troca de e-mails e, em seguida, roteados pelo sistema de tíquetes de suporte. Portanto, é essencial que configuremos a autenticação de e-mail para que esses e-mails não sejam rejeitados inadvertidamente.

Quando você configura o Microsoft Office pela primeira vez em seu domínio, a Microsoft tem uma boa integração com a maioria dos servidores de registro de domínio, onde eles configuram automaticamente toda a troca de e-mail necessária (MX) registros, bem como uma Estrutura de Política do Remetente (SPF) para o seu e-mail do Office. Um registro SPF com a Microsoft enviando seu email do escritório é um registro de texto (SMS) em seu registrador de domínio que se parece com isso:

v=spf1 include:spf.protection.outlook.com -all

No entanto, o SPF é uma tecnologia mais antiga e a autenticação de e-mail avançou com autenticação, relatórios e conformidade de mensagens baseadas em domínio (DMARC) onde é menos provável que seu domínio seja falsificado por um spammer de e-mail. O DMARC fornece a metodologia para definir o quão rigoroso você deseja que os provedores de serviços de Internet (ISP) validem suas informações de envio e fornece uma chave pública (RSA) para verificar seu domínio com o provedor de serviços, neste caso, a Microsoft.

Etapas para configurar o DKIM no Office 365

Enquanto muitos ISPs gostam Espaço de trabalho do Google fornecer 2 registros TXT para configuração, a Microsoft faz isso de maneira um pouco diferente. Eles geralmente fornecem 2 registros CNAME onde qualquer autenticação é adiada para seus servidores para pesquisa e autenticação. Essa abordagem está se tornando bastante comum no setor... especialmente com provedores de serviços de e-mail e provedores de DMARC-as-a-service.

  1. Publique dois registros CNAME:

CNAME: selector1._domainkey 
VALUE: selector1-{your sending domain}._domainkey.{your office subdomain}.onmicrosoft.com
TTL: 3600

CNAME: selector2._domainkey
VALUE: selector2-{your sending domain}._domainkey.{your office subdomain}.onmicrosoft.com
TTL: 3600

Claro, você precisa atualizar seu domínio de envio e seu subdomínio de escritório, respectivamente, no exemplo acima.

  1. Create suas chaves DKIM em seu Microsoft 365 Defender, o painel de administração da Microsoft para que seus clientes gerenciem sua segurança, políticas e permissões. Você encontrará isso em Políticas e regras > Políticas de ameaças > Políticas anti-spam.

dkim keys microsoft 365 defender

  1. Depois de criar suas chaves DKIM, você precisará habilitar Assine mensagens para este domínio com assinaturas DKIM. Uma observação sobre isso é que pode levar horas ou até dias para que isso seja validado, pois os registros de domínio são armazenados em cache.
  2. Uma vez atualizado, você pode execute seus testes DKIM para garantir que estejam funcionando corretamente.

E quanto à autenticação de e-mail e relatórios de capacidade de entrega?

Com o DKIM, você normalmente configura um endereço de e-mail de captura para que todos os relatórios sejam enviados a você sobre a capacidade de entrega. Outro recurso interessante da metodologia da Microsoft aqui é que eles registram e agregam todos os seus relatórios de capacidade de entrega – portanto, não há necessidade de monitorar esse endereço de e-mail!

relatórios de falsificação de email de segurança do microsoft 365