Un Office 365 DKIM es un protocolo de autenticación de correo electrónico que le ayuda a defenderse contra los ataques de suplantación de identidad, phishing y BEC. Microsoft recomienda un registro DKIM para firmar digitalmente los mensajes de correo electrónico salientes, de modo que no puedan ser manipulados ni los actores de amenazas puedan acceder a ellos durante el proceso de transferencia. Habilitar O365 DKIM es un paso esencial para garantizar la seguridad de su correo electrónico.
Activación de la firma DKIM de Office 365 en el portal de Microsoft 365 Defender mediante un dominio personalizado
Nota: Si activa la firma DKIM a través del portal de Microsoft 365 Defender para sus mensajes salientes utilizando un dominio personalizado, cambia automáticamente la configuración DKIM del dominio anterior *.onmicrosoft.com. A continuación se explica cómo configurar un dominio personalizado.
Estos son los pasos para configurar Office 365 DKIM para su dominio personalizado:
Asegúrese de que puede ver su nombre de dominio personalizado en el campo DKIM de la Configuración de autenticación de correo electrónico en el portal de Defender. Este es el aspecto que debería tener:
Inicie sesión en a su cuenta Defender.
En el portal, vaya a Correo electrónico y colaboraciónseleccione Políticas y normas
Sobre la Políticas y normas seleccione Políticas de amenazas y seleccione Configuración de autenticación de correo electrónico
En esta página, haga clic en DKIM y seleccione el dominio personalizado para el que desea activar la firma DKIM.
Aparecerá un cuadro de diálogo con un botón llamado Firmar mensajes para este dominio con firmas DKIM que está desactivado por defecto. Intente activarlo haciendo clic.
En este punto aparecerá un cuadro de error informándole de que faltan registros CNAME para su dominio, lo que impide la firma DKIM. Los detalles del error le proporcionarán además la sintaxis de 2 registros CNAME que deberá publicar en su DNS. Cada uno de estos registros tendrá dos campos principales: El nombre de host y el valor del registro. Microsoft proporciona el siguiente ejemplo en su guía:
Registro CNAME 1
Nombre de host: selector1._clavedominio
Valorselector1-contoso-com._clave-dominio.contoso.onmicrosoft.com
Registro CNAME 2
Nombre de host: selector2._clavedominio
Valorselector2-contoso-com._clave-dominio.contoso.onmicrosoft.com
Sin cerrar la última página de su portal Defender, acceda en una nueva ventana a su consola de gestión DNS. Cree 2 nuevos registros CNAME y pegue el valor de estos registros en su DNS.
Puede consultar instrucciones paso a paso sobre cómo publicar registros DKIM para varios proveedores de DNS en nuestra base de conocimientos.
Nota: Una vez creados los registros CNAME, el DNS puede tardar entre unos minutos y unas horas en propagar los cambios. Una vez procesados los cambios, Microsoft 365 puede tardar algún tiempo en detectarlos. Por lo tanto, deje pasar algún tiempo antes de pasar a los pasos finales.
Diríjase al portal de Defender en el que ha mantenido abierta la última página e intente activar la opción Firmar mensajes para este dominio con firmas DKIM para activarlo
Cuando aparezca el cuadro de diálogo de seguridad, haga clic en OK
Si ha activado correctamente la firma DKIM para los mensajes salientes de su dominio personalizado, las configuraciones finales deberían tener este aspecto:
Pasos para personalizar la firma DKIM utilizando el dominio *.onmicrosoft.com
Aunque el *.onmicrosoft.com inicial se configura automáticamente para firmar tus mensajes con DKIM cuando los envías utilizando Microsoft 365, puedes personalizar las configuraciones. He aquí cómo:
En lugar de tu dominio personalizado, asegúrate de que tu dominio *.onmicrosoft.com aparece en la pestaña DKIM de la página Configuración de autenticación de correo electrónico.
Inicie sesión en a su cuenta Defender.
En el portal, vaya a Correo electrónico y colaboraciónseleccione Políticas y normas
Sobre la Políticas y normas seleccione Políticas de amenazas y seleccione Configuración de autenticación de correo electrónico
En esta página, haga clic en DKIM y selecciona el dominio *.onmicrosoft.com para el que deseas personalizar la firma DKIM.
En el cuadro de detalles del dominio, seleccione el botón azul para Crear claves DKIM
Siga las instrucciones de la página para crear su nuevo conjunto de claves DKIM, pero tenga en cuenta que no es necesario publicar las claves, ya que Microsoft se encarga automáticamente de este paso.
Cierre la página y ahora en la página de detalles del dominio active la opción Firmar mensajes para este dominio con firmas DKIM para este dominio.
Haz clic en OK y listo.
Método alternativo: Habilitar la firma DKIM mediante Powershell de Exchange Online
Para utilizar Powershell para habilitar la firma DKIM para tus mensajes salientes (tanto para el dominio personalizado como para el dominio *.onmicrosoft.com) sigue estos pasos:
Compruebe su configuración actual de DKIM ejecutando el siguiente comando:
Get-DkimSigningConfig | Formato-Lista Nombre,Activado,Estado,Selector1CNAME,Selector2CNAME
Al ejecutar este comando, si falta DKIM, los resultados de la comprobación mostrarán un estado "falso" en el campo "Activado" y transmitirán que falta CNAME.
Para un dominio personalizado, cuando ejecute el comando y Microsoft 365 encuentre que faltan configuraciones DKIM, se mostrará un cuadro de error. Este cuadro contendrá 2 registros CNAME para DKIM. Debe copiar el valor y el nombre de host de los registros y crear nuevos registros CNAME con su registrador de dominios utilizando estos valores. Una vez creados, publique los registros en su DNS.
O,
Si deseas activar la firma DKIM para los mensajes salientes de tu dominio *.onmicrosoft.com, ejecuta el siguiente comando y sustituye el campo "Dominio" por el nombre de tu dominio *.onmicrosoft.com:
Set-DkimConfig -Identity \<Domain\> -Enabled $true
No se muestra ningún mensaje de error para este dominio.
Por último, ejecute el primer comando para comprobar que la configuración DKIM es correcta. Ahora el estado "Activado" debería mostrar "Verdadero" y el campo "Estado" debería tener un valor "Válido".
Si desea rotar sus claves DKIM utilizando Exchange Online Powershell, consulte nuestra guía detallada aquí.
¿Cómo desactivar DKIM para Office 365?
Puede desactivar DKIM para Office 365 con un solo clic en el portal de Defender.
Sólo tiene que ir a Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas > DKIM
En la página DKIM active el botón "Activar" para desactivar el protocolo.
Nota: La verificación DKIM puede ayudarle a autenticar mejor los mensajes en casos especiales como el reenvío de correo electrónico, donde SPF puede fallar. Además, DKIM es obligatorio para los remitentes masivos de Google y Yahoo y se recomienda para todos los remitentes. Mantener DKIM habilitado para sus dominios se considera una buena práctica de correo electrónico y es altamente recomendado tanto por Microsoft como por nosotros.
Otros artículos relacionados:
Configuración del SPF de Microsoft Office 365
Configuración de Microsoft Office 365 DMARC
Revisión de contenidos, comprobación de hechos y fuentes
Toda la información y las imágenes proporcionadas en este artículo se han extraído de la guía de configuración de DKIM de Microsoft DKIM de Microsoft. El contenido ha sido revisado y verificado por expertos en ciberseguridad para garantizar su exactitud. También intentamos actualizar el artículo periódicamente cuando los proveedores de servicios introducen nuevos cambios.
Espero que este artículo le haya sido útil. ¿Es nuevo en la autenticación de correo electrónico, DKIM y DMARC? Prueba gratis prueba DMARC para sopesar sus ventajas hoy mismo.