Guide source : Microsoft 365
Article mis à jour le 24 avril 2025
Ce guide de source décrit le processus de configuration de Microsoft 365 pour l'envoi de messages conformes à DMARC. Vous devrez configurer cette source, ainsi que d'autres qui envoient en votre nom, avant de faire évoluer vos politiques DMARC vers un état plus restrictif (par exemple, mise en quarantaine et/ou rejet).
Pour rendre cette source conforme à DMARC, vous aurez besoin d'un accès au compte administratif de Microsoft 365 et à la console de gestion DNS du domaine.
De temps à autre, ces instructions sont modifiées avec un préavis très court. Veuillez toujours vous référer à la documentation de Microsoft 365 pour obtenir les informations les plus complètes et les plus précises.
Microsoft impose DMARC, SPF et DKIM aux grands expéditeurs de ses services de messagerie grand public outlook.com, hotmail.com et live.com.
Informations générales
Microsoft 365 fournit un service de messagerie basé sur le cloud, ainsi qu'une suite d'outils et d'utilitaires. Il est probablement géré par le service informatique et utilisé par tous les départements de votre organisation. Microsoft 365 prend en charge la conformité DMARC via l'alignement SPF et DKIM.
SPF
Pour configurer SPF, ajoutez l'entrée suivante à l'enregistrement SPF de votre domaine d'envoi :
Enregistrement SPF TXT pour contoso.com dans Microsoft 365 et Microsoft 365 Government Community Cloud (GCC) :
v=spf1 include:spf.protection.outlook.com -all
Enregistrement SPF TXT pour contoso.com dans Microsoft 365 Government Community Cloud High (GCC High) et Microsoft 365 Department of Defense (DoD) :
v=spf1 include:spf.protection.office365.us -all
Enregistrement SPF TXT pour contoso.com dans Microsoft 365 opéré par 21Vianet :
v=spf1 include:spf.protection.partner.outlook.cn -all
Référence : instructions SPF de Microsoft 365
DKIM
Il existe deux façons d'activer DKIM pour Microsoft 365 : depuis l'interface utilisateur (UI) ou en utilisant PowerShell.
Pour configurer DKIM :
- Déterminer le domaine d'envoi pour activer la signature DKIM (example.com)
- Récupérer les enregistrements DNS (CNAME) à publier
- Publier les enregistrements CNAME dans la zone DNS du domaine d'envoi
- Confirmer que les enregistrements DNS publiés se sont propagés
- Activer la signature DKIM (depuis l'interface utilisateur ou via PowerShell)
Méthode 1 : Interface utilisateur Microsoft
Étape 1: Cliquez sur le domaine pour lequel vous souhaitez configurer DKIM sur la page DKIM — https://security.microsoft.com/dkimv2.
Étape 2 : Faites glisser le bouton bascule sur Activer. Une fenêtre contextuelle vous indiquera que vous devez ajouter des enregistrements CNAME.
Étape 3 : Copiez les CNAME affichés dans la fenêtre contextuelle
Étape 4 : Publiez les enregistrements CNAME copiés auprès de votre fournisseur de services DNS. Sur le site web de votre fournisseur DNS, ajoutez les enregistrements CNAME pour DKIM que vous souhaitez activer. Assurez-vous que les champs sont définis sur les valeurs suivantes pour chacun :
Type d'enregistrement : CNAME (Alias)
Hôte : Collez les valeurs que vous copiez de la fenêtre contextuelle DKIM.
Pointe vers l'adresse : Copiez la valeur de la fenêtre contextuelle DKIM.
TTL : 3600 (ou la valeur par défaut de votre fournisseur)
Étape 5 : Retournez à la page DKIM pour activer DKIM.
Si vous voyez toujours l'erreur « Client Error CNAME record doesn't exist », cela peut être dû à une synchronisation avec le serveur DNS, qui peut prendre de quelques secondes à plusieurs heures pour se résoudre. Si le problème persiste, répétez les étapes et vérifiez les erreurs de copier/coller, telles que des espaces ou des tabulations supplémentaires.
Méthode 2 : PowerShell
Étape 1 : Connectez-vous à Exchange Online PowerShell
Étape 2 : Exécutez les commandes suivantes dans Exchange Online PowerShell pour créer les enregistrements de sélecteur :
New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME
Si vous avez provisionné des domaines personnalisés en plus du domaine initial dans Microsoft 365, vous devez publier deux enregistrements CNAME pour chaque domaine supplémentaire. Par exemple, si vous avez deux domaines, vous devez publier deux enregistrements CNAME supplémentaires, et ainsi de suite.
Étape 3 : Utilisez le format suivant pour les enregistrements CNAME :
Host name: selector1._domainkey
Points to address or value: selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600
Host name: selector2._domainkey
Points to address or value: selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL: 3600
Exemple :
Nom d'hôte : selector1._domainkey
Pointe vers l'adresse ou la valeur : selector1-example-com._domainkey.example.onmicrosoft.com
TTL : 3600
Nom d'hôte : selector2._domainkey
Pointe vers l'adresse ou la valeur : selector2-example-com._domainkey.example.onmicrosoft.com
TTL : 3600
Pour Microsoft 365, les sélecteurs seront toujours « selector1 » ou « selector2 »
customDomainIdentifier est identique à l' customDomainIdentifier de l'enregistrement MX personnalisé de votre domaine personnalisé qui apparaît avant mail.protection.outlook.com. Par exemple, dans l'enregistrement MX suivant pour le domaine contoso.com, l' customDomainIdentifier est contoso-com :
contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com
initialDomain est le domaine que vous avez utilisé lors de votre inscription à Microsoft 365. Les domaines initiaux se terminent toujours par onmicrosoft.com.
Remarque : Il est important de créer le deuxième enregistrement, mais un seul des sélecteurs peut être disponible au moment de la création. En substance, le second sélecteur pourrait pointer vers une adresse qui n'a pas encore été créée. Nous vous recommandons tout de même de créer le deuxième enregistrement CNAME, afin que votre rotation de clés se fasse sans heurts.
Étape 4 : Une fois que vous avez publié les enregistrements CNAME dans le DNS, vous êtes prêt à activer la signature DKIM via Microsoft 365. Vous pouvez le faire soit via le centre d'administration Microsoft 365, soit en utilisant PowerShell.
Utilisez la syntaxe PowerShell suivante :
Set-DkimSigningConfig -Identity <Domain> -Enabled $true
Exemple :
Set-DkimSigningConfig -Identity example.com -Enabled $true
Référence : instructions DKIM de Microsoft 365
Si vous avez un compte dmarcian, il peut falloir quelques jours pour que ces changements soient reflétés dans la plateforme dmarcian. Vous pouvez consulter le Detail Viewer (illustré ci-dessous) pour vérifier l' alignement SPF et DKIM requis pour DMARC.
Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
