O DKIM (DomainKeys Identified Mail) é um mecanismo essencial de autenticação que adiciona uma assinatura criptográfica às mensagens enviadas. Essa assinatura permite que servidores de destino validem que o e-mail realmente foi enviado pelo domínio autorizado e que seu conteúdo não foi alterado durante o trânsito.
No Microsoft 365, embora exista assinatura automática para o domínio padrão (onmicrosoft.com), é necessário configurar o DKIM manualmente para domínios personalizados — garantindo alinhamento e maior confiabilidade na entrega das mensagens.
Por que habilitar DKIM?
A implementação do DKIM traz ganhos importantes para a segurança e reputação do domínio:
- Redução de spoofing e falsificação de remetentes
- Melhoria na entregabilidade de e-mails
- Base essencial para políticas DMARC eficazes
- Garantia de integridade das mensagens enviadas
Além disso, DKIM é um dos pilares fundamentais da estratégia moderna de proteção contra phishing.
Como funciona o DKIM no Microsoft 365
Ao habilitar o DKIM:
- O Microsoft 365 gera pares de chaves pública/privada
- A chave privada é usada para assinar os e-mails
- A chave pública é publicada no DNS por meio de registros CNAME
- Servidores de destino validam a assinatura usando essa chave pública
O processo utiliza dois seletores (selectors), permitindo rotação de chaves sem interrupção do serviço.
Etapas para configuração do DKIM
1. Criar as chaves DKIM
No portal de segurança do Microsoft 365:
- Acesse Security / Defender portal
- Vá em Email & collaboration
- Acesse Policies & rules
- Clique em Threat policies
- Acesse Email authentication settings
- Selecione DKIM
- Escolha o domínio desejado
- Clique em Create DKIM keys
Nesse momento, o serviço informará que os registros DNS ainda não foram configurados.
2. Publicar os registros CNAME no DNS
Após gerar as chaves, será necessário adicionar dois registros CNAME no DNS do domínio:
Name: selector1._domainkeyType: CNAMEValue: selector1-seudominio-com._domainkey.seudominio.onmicrosoft.comName: selector2._domainkeyType: CNAMEValue: selector2-seudominio-com._domainkey.seudominio.onmicrosoft.comEsses registros apontam para as chaves públicas utilizadas na validação da assinatura DKIM.
Após a criação, aguarde o tempo de propagação do DNS (geralmente entre 15 minutos e 1 hora).
3. Habilitar o DKIM no Microsoft 365
Depois que os registros estiverem propagados:
- Retorne ao portal
- Ative o DKIM para o domínio selecionado
A partir desse momento, os e-mails enviados passarão a ser assinados corretamente com o domínio personalizado.
Configuração via PowerShell
Para ambientes que utilizam automação, também é possível configurar via PowerShell:
Conectar ao Exchange Online
Connect-ExchangeOnline -UserPrincipalName admin@seudominio.onmicrosoft.comObter os seletores DKIM
Get-DkimSigningConfig -Identity "seudominio.com" | fl Selector1CNAME,Selector2CNAMEHabilitar o DKIM
Set-DkimSigningConfig -Identity "seudominio.com" -Enabled $trueValidação da configuração
Após a ativação:
- Verifique se os registros CNAME estão publicados corretamente
- Envie e-mails de teste para domínios externos
- Analise os cabeçalhos da mensagem procurando por
dkim=pass
Isso confirma que a assinatura está sendo aplicada corretamente.
Boas práticas atualizadas da Microsoft
Para garantir uma implementação segura e sustentável:
1. Habilite DKIM para todos os domínios personalizados
Evite depender apenas do domínio padrão onmicrosoft.com.
2. Implemente em conjunto com SPF e DMARC
DKIM sozinho não é suficiente — ele deve fazer parte de uma estratégia completa.
3. Realize rotação periódica de chaves
A recomendação é rotacionar as chaves regularmente para reduzir riscos.
4. Garanta alinhamento de domínio (alignment)
Fundamental para políticas DMARC mais restritivas.
5. Monitore continuamente os headers e relatórios
Ajuda a identificar falhas de autenticação ou configurações incorretas.
Riscos comuns
- Não publicar corretamente os registros CNAME
- Habilitar DKIM antes da propagação do DNS
- Esquecer de configurar para todos os domínios utilizados
- Não alinhar DKIM com DMARC
Esses cenários podem comprometer a entrega de e-mails legítimos.
Conclusão
A configuração do DKIM no Microsoft 365 é uma etapa essencial para garantir a autenticidade e integridade das comunicações por e-mail. Quando implementado corretamente e combinado com SPF e DMARC, fortalece significativamente a postura de segurança da organização e reduz riscos associados a ataques de phishing e spoofing.