Podepisování odchozí pošty v Office 365 pomocí DKIM

Jedním ze základních problémů elektronické pošty a její bezpečnosti je fakt, že kdokoliv může při odesílání e-mailu použít libovolnou adresu, která mu nepatří. DKIM je technologií podobnou SPF (Sender Policy Framework), oproti které má ale jednu zásadní výhodu, jelikož při přeposílání pošty selže ověření SPF, protože poštu přeposílá server, který (nejspíš) není uveden jako poštovní server pro danou doménu. Taková pošta pak může být označena jako spam nebo úplně zahozena.

DKIM (DomainKeys Identified Mail), tedy e-mail podepsaný doménovým klíčem, je nástroj umožňující elektronicky podepsat hlavičky odchozích e-mailů. Díky tomu může příjemce ověřit, že e-mail pochází opravdu od zdroje, který je uveden jako odesílatel. Ověření DKIM podpisu je možné pomocí veřejného klíče uvedeného v doméně odesílatele, proto zde není problém při přeposílání pošty. SPF totiž pracuje na základě konkrétních IP adres poštovních serverů, které mohou odesílat poštu z dané domény. DKIM naproti tomu používá elektronický podpis, který je sice také generován na serveru odesílatele, ale není pevně svázán s IP adresou toho serveru. Přeposlání pošty tedy do podpisu nijak nezasáhne a pošta je stále legitimní. V poště se projevuje jen přidáním hlavičky DKIM-Signature, která obsahuje podpis generovaný SMTP serverem odesílatele.

Přidání CNAME záznamů do DNS

Nejprve je nutné pro každou doménu přidat dva CNAME záznamy do DNS.

<domainGUID> je jméno, které je zobrazené v MX záznamu před mail.protection.outlook.com. Například můj MX záznam ukazuje na  lukasberan-cz.mail.eo.outlook.com , takže <domainGuid> je  lukasberan-cz .

<initialDomain> je jméno, kterým jste se přihlásili do Office 365. V mém případě to je lukasberan.onmicrosoft.com .

Moje DNS záznamy tedy budou vypadat následovně:

Výše uvedený příklad ale neobsahuje konkrétní jméno domény. To lze přidat za  selector1._domainkey , tedy  selector1._domainkey.lukasberan.cz .

Pokud máte více domén v jednom tenantu, potřebujete takto vytvořit dva záznamy pro každou doménu, která má poštu podepisovat pomocí DKIM. Protože v mém tenantu je ještě doména evasovova.cz, nastavím podepisování i pro tuto doménu. Finální verze, kterou budu přidávat do DNS, tedy vypadá následovně:

Povolení podepisování odchozí pošty

Po přidání záznamů do DNS je potřeba podepisování odchozí pošty povolit přes PowerShell (povolení přes administraci není v době psaní článku dostupné).

Nejdříve je nutné povolit spouštění skriptů. Z administrátorského PowerShellu zadejte:

Nyní se můžeme přihlásit do Office 365. Nejprve si uložíme přihlašovací údaje:

Do přihlašovacího okna zadáme přihlašovací údaje správce Office 365 tenantu.

Nyní si otevřeme novou session na Office 365 PowerShell:

Jako poslední si vytvořenou session importujeme:

Nyní již můžeme nastavit podepisování pomocí:

Výsledek by měl být:

Stejným způsobem přidáme podepisování i pro další domény v tenantu.

Výsledek můžeme ověřit v administraci. Běžte do Správce – Exchange a poté do Ochrana – dkim, kde uvidíte všechny domény a stav DKIM u nich.

V hlavičce odeslaných zpráv je poté vidět informace o DKIM testu a samotný podpis.