DKIM en Microsoft 365 desde PowerShell

DKIM en Microsoft 365 desde PowerShell

No hay sistema 100% seguro pero las medidas a aplicar para la mejora de la seguridad son continuas, para incrementar la de los correos salientes en dominios personalizados con planes Microsoft 365, debemos añadir 2 registros CNAME a nuestro DNS, sustituyendo «MiDominio» y «MiTenant» por el correspondiente:

selector1._domainkey CNAME 3600 selector1-MiDominio-com._domainkey.MiTenant.onmicrosoft.com
selector2._domainkey CNAME 3600 selector2-MiDominio-com._domainkey.MiTenant.onmicrosoft.com

Para conectar desde PowerShell aprovecharemos para actualizar los modulos EXO V2 (de paso los de Azure) y establecer la política de ejecución…

Leer más
Autenticación doble en Microsoft 365 y Outlook.com

Autenticación doble en Microsoft 365 y Outlook.com

La autenticación de doble factor añade una seguridad adicional a nuestra cuentas siempre conectadas. No es infalible pero si necesaria para datos/operaciones críticas, el juego del gato y el ratón en seguridad es continuo, como Hesperbot.

Actualmente podemos:

La opción más ágil es a través de la aplicación Microsoft Authenticator, despues del baile de nombres que ha sufrido la app, esta disponible para Android, Windows y iPhone nos mostrará un código o un mensaje de aceptación según prefiramos.

En el caso de las cuentas de Microsoft, es necesario diferenciar las de Office 365 empresarial y las de Outlook/Live el proceso de configuración y creación de contraseñas para aplicaciones no compatibles es diferente a día de hoy:

Office 365 -> Configuración -> Seguridad y Privacidad -> «Actualice los número de teléfono que usa para la seguridad de la cuenta»

No es una opción muy destacada en la configuración, debería tener su propia sección o aparecer más claramente pero bueno…

En la parte superior aparecerá la opción «Contraseñas de aplicación» donde podemos dar un nombre para identificar donde hemos usado la contraseña. Una vez creada no es posible volver a verla, solo podremos eliminarla y volver a crear otra:

NOTA: En el caso de realizar la configuración de la app por primera vez, deberemos seguir el asistente inicial desde el botón «Configurar»

Con Office 365 nos permite dar nombre a las contraseñas:

NOTA: Si el dominio esta gestionado por un administrador, debes comprobar que la configuración global permita crear contraseñas de aplicación: Administración Microsoft 365 > Configuración > Configuración de la organización > Configurar multi-factor Authentication además de habilitar al usuario (si no todavía no estaba)

Captura de pantalla de la versión web de 2022

URL para Office 365: https://account.activedirectory.windowsazure.com/AppPasswords.aspx

URL para Outlook/live: https://account.live.com/proofs/AppPassword

Configuración MFA para usuarios: https://aka.ms/MFASetup

Alias de correo electrónico en directorio activo local y Office 365

Si ya hemos realizado la sincronización de usuarios entre nuestro directorio activo local y los servicios cloud de Microsoft en Office 365, es posible que algunas de las cuentas de correo electrónico utilizen alias adicionales al principal.

Desde la consola de administración no es posible realizar los cambios y replicar hacia nuestro directorio en este momento con algunos escenarios de configuración (imagino que a futuro añadirán esta posibilidad), por lo que debemos indicar en nuestro Active Directory manualmente los alias del usuario.

1.- Desde «Usuarios y equipos del directorio Activo» debemos activar la visualización de las «Características avanzadas»

2.- Seleccionamos el usuario al que queremos añadir los alias adicionales de correo, desde la pestaña «Editor de atributos» buscamos la propiedad «proxyAddresses» y vamos añadiendo los alias, de tal forma que «SMTP:micuenta@micorreo.es» en mayúsculas indica la dirección de correo principal y las adicionales deben ir en minúscula «smtp:aliasde@micorreo.es»

Los cambios tardan en replicarse, un mínimo de 30 minutos, segúna la configuración de nuestro conector. Puedes forzar la sincronización para reducir ese tiempo.

Sincronizar contraseñas de Directorio Activo con Office 365 / Azure

Los escenarios de configuración puede ser diversos, en muchos de ellos han ido pasando diferentes administradores con todo lo que ello conlleva. A continuación describiré un escenario simplificado habitual: un directorio activo bajo Windows Server (será necesario actualizar o migrar a 2012 R2 previamente) con un directorio heredado de la empresa con dominio «.local» que debemos sincronizar contraseñas con el correo de Office 365 en Azure.

Lo más habitual es que no todos los usuarios locales tengan cuenta de correo, la compartan, etc. aunque sea esta la tendencia actual en pequeñas empresas.

1.- Descargamos Microsoft Azure Active Directory Connect  y avanzamos en el asistente habitual

2.- En este caso solo vamos a sincronizar contraseñas:

3.- Introducimos las credenciales del usuario administrador de nuestra cuenta Office 365

4.- A continuación las de un usuario con permisos sobre el directorio activo local

5.- En el caso habitual nuestro nombre del directorio local no coincidirá con el del dominio, es posible utilizar para sincronizar otro campo, el más habitual la dirección de email de la cuenta del usuario en el directorio activo local.
NOTA 2022-05-17: en la nueva versión del conector es recomendable tener el UPN del dominio ya configurado antes de continuar con este paso

6.- Utilizaremos la siguiente opción para filtrar y limitar la sincronización en ambas direcciones, crearemos un grupo llamado «CorreoNube» por ejemplo en el que incluimos los usuarios con cuentas en local y correo en Office 365 y pulsamos en Resolver para rellenar automáticamente la cadena

7.- Finalizamos el asistente y acaba la instalación.

En este punto aunque tengamos usuarios dentro del grupo y la sincronización activa y funcionando, no será posible iniciar sesión. En el paso 5 ya nos advertía que no había un dominio en local que fuera igual a los dominios validados en el panel de Office 365. Para corregirlo debemos añadir un nuevo sufijo UPN.

8.- Desde «Dominios y confianzas de Active Directory» pulsamos sobre las propiedades:

9.- Añadimos el nombre de nuestro dominio verificado de Office 365 en la lista, y seleccionamos en la cuenta del usuario:

10.- Ahora si ya podemos utilizar las credenciales en los servicios Cloud, en este caso Office/Outlook y en nuestro ordenador local. Podemos forzar la sincronización en ambos sentidos desde «Syncronization Service Manager»

Si algún usuario posee alias de correo electrónico, debes añadirlas a las propiedades de su cuenta del directorio para sincronizarlas igualmente. Recuerda puede demorar hasta 30 minutos, o puedes forzar a iniciar la sincronización.