Dodanie domeny i konfiguracja DNS dla Microsoft 365 umożliwa korzystanie z wszystkich korzyści MS365 z użyciem własnej domeny publicznej.

Pakiet MS365 SMB:

Dla kogo jest ten wpis?

• Administrator Microsoft 365
• Właściciel IT w SMB

1) Kontekst i typowy problem w SMB

Nowoczesna praca w M365 to przede wszystkim porządek: gdzie trzymamy pliki, jak współpracujemy, jakie są zasady udostępniania i spotkań. W tym wpisie skupimy się na omówieniu przełączeniu usługi poczty e-maail tak by po przełączeniu działała poprawanie.

Najczęstszy błąd: Domena jest dodana do M365, ale DNS skonfigurowany jest tylko częściowo (np. tylko MX).

Skutkiem tego są problemy:

• maile trafiają do spamu (brak SPF/DKIM/DMARC),
• Autodiscover działa losowo,
• duplikaty SPF (permerror),
• problemy z Outlookiem (PC/mobile).

By uniknąć tych problemów przejdziemy sobie dodawanie domeny i wpisów DNS dla usług MS365, czyli:

• dodanie i weryfikację domeny,
• rekordy DNS: MX, SPF, TXT, Autodiscover, DKIM, DMARC,
• testy i weryfikację.

2) Checklist na start (zanim klikniesz cokolwiek)

Plan i minimalizacja ryzyka

Dostepy i scenariusz

• Masz dostęp administracyjny do DNS (rejestrator / hosting / Cloudflare - zmiana/dadanie wpisów DNS).
• Masz dostęp administracyjny do MS365 (Global Admin).
• Masz zaplanowane okno zmian + plan rollback (użytkownicy poinformowani o przerwie w dostępie do usług, masz plan powrotu jakby coś nie poszło do poprzedniej sprawdzonej konfiguracji)
• Masz ustalony scenariusz migracji: cutover / staged / hybryda / tylko weryfikacja domeny.

Techniczne minimum

• TTL dla MX / SPF / Autodiscover obniżony do 300–900 s min. 24h wcześniej.
  • przy zmianie chcemy by aktualizacja wpisu propagowana była jak najszybciej
• Masz kopię aktualnej strefy DNS (eksport / screenshot).
  • niby wiemy co zmieniamy ale kopia nie zaszkodzi
• Masz skrzynkę testową, np. it-test@twojadomena.pl (w przypadku scenariuszów migracyjnych)

Bezpieczeństwo

• SPF: jeden rekord TXT.
• DKIM: zaplanowane włączenie po CNAME.
• DMARC: start od p=none, potem quarantine / reject.
  • weryfikacja i zabezpieczenie by polityka nie wprowadzala nas w błąd po migracji

3) Konfiguracja krok po kroku

Krok 1 — Dodanie domeny w Microsoft 365

1. Microsoft 365 Admin Center → Ustawienia → Domeny.
2. Wybierz Dodaj domenę i wpisz nazwę (np. firma.pl).

   

3. Wybierz weryfikację przez rekord TXT.

Krok 2 — Weryfikacja własności domeny (TXT)

Po wybraniu weryfikacji przez rekord TXT wygenerowane zostają dla nas wartosci do wprowadzenia w celu potwierdzenia własnosci domeny

Zgodnie z powyższym obrazkiem należy dodać dla domeny, która dodajemy wpis DNS typu TXT o wartości MS=ms74879691 (jest to wartość generowana dynamicznie dla danej domeny)

TXT (weryfikacja własności domeny)

Typ: TXT
Host: @
Wartość: MS=ms74879691
TTL: 3600

Po dodaniu wpisu i w naszym DNS oraz jego propagacji możemy kliknąć przycisk sprwadzenia “Verify” czy Microsoft widzi już nasz nowo dodany wpis TXT w celu potwierdzenia, że jesteśmy właścicielami domeny.

Krok 3 — Rekordy DNS dla usług Microsoft365

Domena została zaweryfikowana, ale nie oznacza to że jest już propagowana inforamcja w świat, że nasza domena publiczna korzysta z usług Microsoft. Dopiero w tym kroku dodajemy i robimy zmiany w wpisach DNS naszej domeny by tak się stało. Wybieramy kontynuuj

Wybieramy usługi dla jakich MS365 ma nam podać nowe wpisy, które mamy wprowadzić w naszym DNS’ie dla dodawanej domeny. Jak widać na poniższym zrzucie ekranu mamy wygenerowane gotowe wpisy do wprowadzenia u naszego hostingodawcy usługi DNS.

Wpisy DNS (przykładowe):

MX

Typ: MX
Host: @
Priorytet: 0
Wartość: <twojadomena>.mail.protection.outlook.com
TTL: 3600

SPF

Typ: TXT
Host: @
Wartość: v=spf1 include:spf.protection.outlook.com -all
TTL: 3600

Autodiscover

Typ: CNAME
Host: autodiscover
Wartość: autodiscover.outlook.com
TTL: 3600

DKIM

Typ: CNAME
Host: selector1._domainkey
Wartość: selector1-<twojadomena>._domainkey.<tenant>.onmicrosoft.com
TTL: 3600

Typ: CNAME
Host: selector2._domainkey
Wartość: selector2-<twojadomena>._domainkey.<tenant>.onmicrosoft.com
TTL: 3600

DMARC (p=none daje jako przykład)

Typ: TXT
Host: _dmarc
Wartość: v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl
TTL: 3600

4) Weryfikacja

Gdy nasza domena jest poprawnie dodana, musimy sprawdzić czy DNS’y poprawnie rozwiązują już nasze zmienione wpisy oraz czy status w Microsoft 365 Admin jest poprawny.

Domena może mieć kilka statusów:

• “Zdrowa” (“Healthly” - zielona ramka) - jest wszystko OK,
• “Konfiguracja niedokończona” (“Incomplete setup” - pomarańczowa ramka) - jesteśmy w trakcie konfiguracji ale jeszcze jej nie ukończyliśmy,
• “Możlwy problem z usługą” (“Possible service issue” - czerowana ramka) - nasze wpisy w DNS są inne niż powinny być, usługa nie działa prawidłowo.

W przypadku błędów (czerwona ramka) po kliknięciu w domenę zobaczymy jakie konkretnie elementy według konfiguratora są do poprawy.

Po potwierdzneiu poprawności podłączenia domeny z poziomu Microsoft 365 Admin, pozostaje sprawdzenie na stacji końćowe czy wpisy DNS po zmianie są już widoczne i można zacząć korzystać z nich. Poniżej przykładowe polecenia dla PowerShell.

nslookup -type=mx firma.pl
nslookup -type=txt firma.pl
nslookup -type=cname autodiscover.firma.pl
nslookup -type=txt _dmarc.firma.pl