DKIM en Microsoft 365 desde PowerShell

No hay sistema 100% seguro pero las medidas a aplicar para la mejora de la seguridad son continuas, para incrementar la de los correos salientes en dominios personalizados con planes Microsoft 365, debemos añadir 2 registros CNAME a nuestro DNS, sustituyendo «MiDominio» y «MiTenant» por el correspondiente:

selector1._domainkey CNAME 3600 selector1-MiDominio-com._domainkey.MiTenant.onmicrosoft.com
selector2._domainkey CNAME 3600 selector2-MiDominio-com._domainkey.MiTenant.onmicrosoft.com

Para conectar desde PowerShell aprovecharemos para actualizar los modulos EXO V2 (de paso los de Azure) y establecer la política de ejecución…

Install-Module PowershellGet -Force
Update-Module PowershellGet
Set-ExecutionPolicy -scope CurrentUser -executionPolicy RemoteSigned
Install-Module -Name ExchangeOnlineManagement
Install-Module AzureAD
Install-Module AzureRM

Si solo tenemos un tenant asociado:

Connect-ExchangeOnline

Si tenemos permisos para acceder a varios tenants:

Install-Module MSOnline
Connect-MsolService
Get-MsolPartnerContract -All | Select-Object TenantId, Name
Connect-ExchangeOnline -UserPrincipalName nombre@MiEmail.com -DelegatedOrganization TenantAsociado.onmicrosoft.com

Ahora estaremos conectados a la consola de administración desde PowerShell y podremos (entre otras muchas funciones) activar la configuración DKIM:

Set-DkimSigningConfig -Identity MiDominio.com -Enabled $true
Get-DkimSigningConfig

En el caso de no estar creadas o querer actualizar de 1024 a 2048 las claves:

New-DkimSigningConfig -DomainName MiDominio.com -KeySize 2048 -Enabled $true

En el caso de no configurar correctamente las DNS o todavía no se han propagado los cambios, el comando muestra el correspondiente error en pantalla:

Con DKIM activado conforme los usuarios envien nuevos emails se irán añadiendo en las cabeceras las firmas DKIM (DomainKeys Identified Mail), no se firma el contenido por defecto.

Si ya teníamos configurada la entrada SPF por defecto de Microsoft con un registro TXT en el DNS:

v=spf1 include:spf.protection.outlook.com -all

Dependiendo del número de usuarios del dominio, podemos añadir los registros DMARC (Domain-based Message Authentication, Reporting, and Conformance):

_dmarc 600	TXT v=DMARC1; p=quarantine; pct=100; ruf=mailto:ruf@MiDominio.com; rua=mailto:rua@MiDominio.com

Deja una respuesta

You have to agree to the comment policy.