No hay sistema 100% seguro pero las medidas a aplicar para la mejora de la seguridad son continuas, para incrementar la de los correos salientes en dominios personalizados con planes Microsoft 365, debemos añadir 2 registros CNAME a nuestro DNS, sustituyendo «MiDominio» y «MiTenant» por el correspondiente:
1 2 | selector1._domainkey CNAME 3600 selector1-MiDominio-com._domainkey.MiTenant.onmicrosoft.comselector2._domainkey CNAME 3600 selector2-MiDominio-com._domainkey.MiTenant.onmicrosoft.com |
Para conectar desde PowerShell aprovecharemos para actualizar los modulos EXO V2 (de paso los de Azure) y establecer la política de ejecución…
1 2 3 4 5 6 | Install-Module PowershellGet -ForceUpdate-Module PowershellGetSet-ExecutionPolicy -scope CurrentUser -executionPolicy RemoteSignedInstall-Module -Name ExchangeOnlineManagementInstall-Module AzureADInstall-Module AzureRM |
Si solo tenemos un tenant asociado:
1 | Connect-ExchangeOnline |
Si tenemos permisos para acceder a varios tenants:
1 2 3 4 5 6 7 | Install-Module MSOnlineConnect-MsolServiceGet-MsolPartnerContract -All | Select-Object TenantId, Name$Tenants = Get-MsolPartnerContract -All; $Tenants | foreach {$Domains = $_.TenantId; Get-MsolDomain -TenantId $Domains | fl @{Label="TenantId";Expression={$Domains}},name}Connect-ExchangeOnline -UserPrincipalName nombre@MiEmail.com -DelegatedOrganization TenantAsociado.onmicrosoft.com |
Actualizado: es posible conectar directamente con un comando desde PowerShell y nos pedirá autenticar en un popup:
1 2 | Connect-ExchangeOnline -DelegatedOrganization TenantAsociado.onmicrosoft.comConnect-ExchangeOnline -DelegatedOrganization DominioPersonalizado.com |
Ahora estaremos conectados a la consola de administración desde PowerShell y podremos (entre otras muchas funciones) activar la configuración DKIM:
1 2 3 | Set-DkimSigningConfig -Identity MiDominio.com -Enabled $trueGet-DkimSigningConfigGet-DkimSigningConfig -Identity MiDominio.com | Format-List |
En el caso de no estar creadas o querer actualizar de 1024 a 2048 las claves:
1 | New-DkimSigningConfig -DomainName MiDominio.com -KeySize 2048 -Enabled $true |
En el caso de no configurar correctamente las DNS o todavía no se han propagado los cambios, el comando muestra el correspondiente error en pantalla:
Con DKIM activado conforme los usuarios envien nuevos emails se irán añadiendo en las cabeceras las firmas DKIM (DomainKeys Identified Mail), no se firma el contenido por defecto.
Si ya teníamos configurada la entrada SPF por defecto de Microsoft con un registro TXT en el DNS:
1 | v=spf1 include:spf.protection.outlook.com -all |
En el caso de obtener errores de comprobación de DKIM en el selector2 pero funcionar en el selector1, podemos forzar rotar las claves del dominio:
1 | Rotate-DkimSigningConfig -KeySize 2048 -Identity MiDominio.com |
Dependiendo del número de usuarios del dominio, podemos añadir los registros DMARC (Domain-based Message Authentication, Reporting, and Conformance):
1 | _dmarc 600 TXT v=DMARC1; p=quarantine; pct=100; ruf=mailto:ruf@MiDominio.com; rua=mailto:rua@MiDominio.com |
NOTA: acceso alternativo via web desde el panel aquí.
