Activer DKIM dans Office 365 – Exchange Online

Dans l’article précédent – disponible ici, j’expliquais le mode de fonctionnement de DKIM. Dans celui-ci, je présente comment mettre en œuvre (activer) DKIM sur Office 365 – Exchange Online.
DKIM est désormais supporté dans Office 365 pour les trafics entrants et sortants. Lorsque votre messagerie est hébergée sous Office 365, vous pouvez envoyer et recevoir des messages chiffrés avec DKIM.

Pour le trafic entrant, vous n’avez rien à configurer. DKIM est activé par défaut dans Exchange Online, tous les messages entrant pourront donc être vérifiés et décryptés.
Voici une partie d’entête de mail vers une boite mail Exchange Online.

L’étiquette dkim=none dans l’entête indique que le serveur de réception (Office 365) est capable de déchiffrer DKIM mais le serveur d’envoi n’utilise pas DKIM. Cette étiquette est donc ajoutée à l’entête puis le message délivré.

En ce qui concerne le trafic sortant, vous devez activer DKIM pour chaque domaine SMTP que vous souhaitez. Vous devez récupérer les paramètres suivants de votre domaine :
<Domain GUID> :  Il s’agit de la partie précédant votre adresse EOP dont le format est <domain GUID>.mail.protection.outlook.com.
<Initial domain>  : votre domaine onmicrosoft.com dont le format est tenant.onmicrosoft.com.

Connectez-vous à Exchange Online PowerShell et exécuter la commande :

New-DkimSigningConfig -DomainName <domaine smtp> -Enabled $False

Ensuite, récupérez les enregistrements DNS de type CNAME (oui c’est bien CNAME) puis créez les dans votre DNS publique. 

Get-DkimSigningConfig <domaine smtp> | FL domain, *cname

La commande précédente vous donne les valeurs des enregistrements DNS suivants :

  • selector1._domainkey IN CNAME selector1-<Domain GUID>._domainkey.<Initial domain>
  • selector2._domainkey IN CNAME selector2-<Domain GUID>._domainkey.<Initial domain>

Créez ces enregistrements sur le DNS publique de votre domaine. Une fois les DNS propagés, exécutez la commande :

Set-DkimSigningConfig <domaine smtp> -Enabled $True

Voici un exemple d’entête de mail chiffré avec DKIM.

DKIM=Pass indique que le mail a été chiffré à l’envoi et correctement déchiffré à la réception.