Como configurar o DKIM para autenticação de e-mails no Microsoft Defender para Office 365 usando o domínio onmicrosoft.com

A segurança na entrega de e-mails corporativos é fundamental para evitar falsificação de identidade e proteger os usuários contra ameaças como phishing e spoofing. O protocolo DKIM (DomainKeys Identified Mail) é uma das tecnologias centrais de autenticação de e-mail utilizadas no Microsoft Defender para Office 365.

A Microsoft permite configurar o DKIM para domínios personalizados e também oferece suporte para habilitação usando o domínio padrão onmicrosoft.com. Esta opção é particularmente útil durante estágios iniciais de configuração ou testes em ambientes híbridos ou de homologação.

O que é DKIM?

O DKIM é um método de autenticação que permite ao remetente assinar digitalmente as mensagens de e-mail com uma chave criptográfica associada ao domínio. Isso garante que o conteúdo da mensagem não foi alterado e que ela realmente foi enviada por um domínio autorizado.

Por que usar DKIM com onmicrosoft.com?

Quando você ainda não configurou um domínio personalizado com DKIM ou está em fase de testes, pode optar por usar o domínio onmicrosoft.com, que é fornecido automaticamente com a criação do seu tenant Microsoft 365.

Essa abordagem permite aplicar proteção básica sem a necessidade de configuração imediata de registros DNS públicos.

Como configurar o DKIM com onmicrosoft.com no Defender para Office 365

Pré-requisitos

• Ser administrador global ou administrador de segurança.

• A conta do tenant já deve estar ativa com um domínio *.onmicrosoft.com.

Etapas no portal Defender:

1. Acesse o Microsoft Defender Portal.

2. Vá até Política e Regras > Políticas de ameaça > Autenticação de email.

3. Selecione DKIM.

4. Na lista de domínios, selecione seu domínio onmicrosoft.com.

5. Clique em Girar chaves (caso ainda não existam).

6. Após a rotação, clique em Ativar DKIM.

Essa configuração ativa a assinatura de todos os e-mails de saída com uma assinatura DKIM associada ao domínio padrão, o que já oferece uma camada significativa de proteção.

Considerações importantes

• A assinatura via onmicrosoft.com é adequada apenas temporariamente. O ideal é configurar DKIM com seus domínios personalizados, especialmente em ambientes de produção.

• Ao migrar para domínios personalizados, você precisará criar manualmente os registros CNAME no DNS público com os seletores correspondentes.

• DKIM é mais eficaz quando usado em conjunto com SPF e DMARC, formando uma política robusta de autenticação.

Boas práticas recomendadas

• Ative o DKIM assim que possível, mesmo em ambientes de teste.

• Use registros DNS consistentes com nomes de seletores padronizados (selector1 e selector2).

• Monitore a reputação do domínio e indicadores de autenticação no Microsoft 365 Defender.

• Ao mover para domínios personalizados, revise e atualize políticas de SPF, DKIM e DMARC de forma coordenada.

A ativação do DKIM no Microsoft Defender para Office 365, mesmo com o domínio onmicrosoft.com, é uma etapa crítica para qualquer organização que busca elevar o nível de segurança do seu ambiente de e-mail. Embora seja uma solução transitória, ela garante que seus e-mails estejam protegidos contra falsificação e garante integridade nas comunicações enquanto o domínio corporativo definitivo é preparado para suportar políticas de autenticação avançadas.

Para mais: Use o DKIM para e-mails em seu domínio personalizado - Microsoft Defender for Office 365 | Microsoft Learn