Microsoft 365 wysyła Twoją pocztę, ale w domyślnej konfiguracji nie uwierzytelnia za Ciebie Twojej domeny. Aby poczta z Microsoft 365 przechodziła kontrole SPF, DKIM i DMARC, musisz samodzielnie opublikować kilka rekordów DNS. Oto pełna konfiguracja.
SPF dla Microsoft 365
Opublikuj w swojej domenie jeden rekord SPF typu TXT, który autoryzuje serwery Microsoftu:
v=spf1 include:spf.protection.outlook.com -all
Jeśli wysyłasz pocztę również przez inne usługi, dodaj ich wpisy include przed -all i uważaj na limit dziesięciu odwołań DNS.
DKIM dla Microsoft 365
Microsoft 365 używa dwóch selektorów, selector1 i selector2, publikowanych jako rekordy CNAME wskazujące z powrotem na Twoją dzierżawę (tenant) Microsoftu. Dodaj oba rekordy CNAME według wartości, które Microsoft pokazuje w centrum administracyjnym, a następnie włącz podpisywanie DKIM dla swojej domeny. Sama publikacja rekordów CNAME nic nie daje, dopóki nie włączysz podpisywania. Ogólną zasadę opisuje przewodnik jak skonfigurować DKIM.
DMARC dla Microsoft 365
DMARC działa tak samo niezależnie od dostawcy. Opublikuj rekord TXT pod adresem _dmarc.twojadomena.com:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com
Zacznij od p=none, przeanalizuj raporty, a potem stopniowo przechodź w kierunku p=reject. Zobacz jak bezpiecznie przejść z p=none do reject.
Weryfikacja
Gdy opublikujesz już SPF, oba rekordy CNAME dla DKIM oraz DMARC i włączysz podpisywanie, przeskanuj swoją domenę, aby potwierdzić, że wszystkie trzy kontrole wypadają pomyślnie.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.