Microsoft 365 - dodanie domeny i konfiguracja DNS
Po tym artykule dodasz własną domenę do Microsoft 365 i w pełni poprawnie skonfigurujesz DNS (MX, SPF, Autodiscover, DKIM, DMARC), tak aby poczta i usługi działały stabilnie, przewidywalnie i bez problemów z dostarczaniem.
Kontekst
- Dla kogo: administrator M365, właściciel lub IT generalista (5–300 użytkowników).
- Problem: domena została dodana do Microsoft 365, ale DNS jest skonfigurowany tylko częściowo (najczęściej sam MX).
- Skutki: wiadomości trafiają do spamu, Autodiscover działa losowo, Outlook zgłasza błędy, a SPF kończy się
permerror. - Cel: pełna konfiguracja DNS zgodna z wymaganiami Microsoft 365 i dobrymi praktykami bezpieczeństwa.
Ten artykuł prowadzi przez cały proces – od przygotowania DNS, przez weryfikację domeny, po testy końcowe.
Wymagania
- Dostęp administracyjny do:
- strefy DNS (rejestrator / hosting / Cloudflare),
- Microsoft 365 (Global Admin).
- Zaplanowane okno zmian (jeśli konfiguracja dotyczy środowiska produkcyjnego).
Checklist przed startem
Plan i minimalizacja ryzyka
- Dostęp do edycji strefy DNS
- Global Admin w Microsoft 365
- Zaplanowane okno zmian + plan rollback
- Ustalony scenariusz (cutover / staged / tylko weryfikacja)
Techniczne minimum
- TTL dla MX / SPF / Autodiscover obniżony do 300–900 s min. 24h wcześniej
- Kopia aktualnej strefy DNS (export / screenshot)
- Skrzynka testowa, np.
it-test@twojadomena.pl
Bezpieczeństwo
- Jeden rekord SPF (bez duplikatów)
- DKIM zaplanowany do włączenia po dodaniu CNAME
- DMARC: start od
p=none
Omwówienie scenariuszy migracji mogłoby stworzyć odrębną serie artykułów uwzglęniających różne aspekty migracyjne, dlatego tutaj rozwinę tylko ich definicje
- Cutover – cała poczta jest migrowana jednorazowo, a rekord MX przełączany na Microsoft 365 w jednym zaplanowanym oknie zmian.
- Staged – skrzynki pocztowe są migrowane etapami (grupami użytkowników), a przez pewien czas działają równolegle dwa systemy pocztowe.
- Hybryda – Exchange on‑prem i Exchange Online współistnieją, umożliwiając stopniowe przenoszenie użytkowników przy zachowaniu pełnej integracji.
- Tylko weryfikacja domeny – domena jest dodana i zweryfikowana w Microsoft 365 bez zmiany MX, a poczta nadal działa w dotychczasowym systemie.
Konfiguracja – krok po kroku
Krok 1: Dodanie domeny w Microsoft 365
- Wejdź do Microsoft 365 Admin Center → Ustawienia → Domeny.
- Wybierz Dodaj domenę i wpisz nazwę (np.
firma.pl).
Krok 2: Weryfikacja własności domeny (TXT)
Microsoft wygeneruje rekord TXT potwierdzający własność domeny.
Typ: TXT
Host: @
Wartość: MS=msXXXXXXXX
TTL: 3600
Po dodaniu rekordu i jego propagacji kliknij Verify.
Krok 3: Konfiguracja rekordów DNS dla usług Microsoft 365
Po weryfikacji domeny Microsoft wygeneruje listę wymaganych rekordów DNS.
Wpisy DNS (przykładowe):
MX
Typ: MX
Host: @
Priorytet: 0
Wartość: <twojadomena>.mail.protection.outlook.com
TTL: 3600
SPF
Typ: TXT
Host: @
Wartość: v=spf1 include:spf.protection.outlook.com -all
TTL: 3600
Autodiscover
Typ: CNAME
Host: autodiscover
Wartość: autodiscover.outlook.com
TTL: 3600
DKIM
Typ: CNAME
Host: selector1._domainkey
Wartość: selector1-<tenant>._domainkey.<tenant>.onmicrosoft.com
Typ: CNAME
Host: selector2._domainkey
Wartość: selector2-<tenant>._domainkey.<tenant>.onmicrosoft.com
DMARC
Typ: TXT
Host: _dmarc
Wartość: v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl
TTL: 3600
Rekordy DNS:
- @ (at) – zapis używany w polu Host oznaczający nagłówek strefy, czyli główną domenę (apex), np. firma.pl.
- MX – rekord odpowiedzialny za obsługę poczty dla domeny.
- CNAME – rekord DNS wskazujący alias domeny na inny kanoniczny adres, np. autodiscover → autodiscover.outlook.com.
- SPF – rekord TXT służący do ochrony przed spoofingiem, określający które serwery mogą wysyłać pocztę w imieniu domeny.
- DKIM – mechanizm wykorzystujący podpisy kryptograficzne w celu potwierdzenia autentyczności wiadomości e‑mail.
- DMARC – polityka TXT definiująca zasady anty‑spoofingowe oraz sposób obsługi wiadomości niezgodnych z SPF/DKIM.
- TXT – rekord DNS umożliwiający zapis dowolnych informacji tekstowych dla domeny, wykorzystywany m.in. do weryfikacji własności domeny, konfiguracji SPF oraz DMARC
Duplikaty SPF lub brak DMARC to najczęstsza przyczyna problemów z dostarczaniem poczty po migracji.
Weryfikacja konfiguracji
Po zakończeniu konfiguracji sprawdź status domeny w Microsoft 365:
- Healthy – konfiguracja poprawna
- Incomplete setup – konfiguracja nieukończona
- Possible service issue – DNS niezgodny z wymaganiami
Dodatkowo zweryfikuj DNS lokalnie:
nslookup -type=mx firma.pl
nslookup -type=txt firma.pl
nslookup -type=cname autodiscover.firma.pl
nslookup -type=txt _dmarc.firma.pl
Najczęstsze problemy
Objaw: poczta trafia do spamu Przyczyna: brak DKIM lub DMARC Rozwiązanie: skonfiguruj CNAME DKIM i ustaw DMARC
Objaw: Outlook nie konfiguruje się automatycznie Przyczyna: brak lub błędny rekord Autodiscover Rozwiązanie: popraw rekord CNAME autodiscover
Podsumowanie
- Sama weryfikacja domeny nie wystarcza – kluczowa jest kompletna konfiguracja DNS.
- MX bez SPF/DKIM/DMARC to gwarantowane problemy z pocztą.
- Microsoft podaje poprawne rekordy, ale odpowiedzialność za DNS zawsze leży po Twojej stronie.
Co dalej
- Włącz DKIM i monitoruj raporty DMARC
- Rozważ MFA i Conditional Access
- Ustal cykliczny przegląd DNS (np. co kwartał)
Powiązane wpisy
Blog - Od commita do publikacji
Jeśli blog ma działać „bezobsługowo”, to w praktyce liczy się by publikacja nowego posta przebiegała jak najprosciej się da, czyli w moim przypadku:
Przeczytaj więcej
MFA w Microsoft 365: włączenie i onboarding użytkowników
Po tym artykule włączysz MFA w Microsoft 365 w sposób bezpieczny dla SMB: najpierw na grupie pilotowej, z onboardingiem użytkowników i weryfikacją w logach.
Przeczytaj więcej
M365: spójna architektura tożsamości, współpracy i Security
Microsoft 365 jest „kompletne” nie dlatego, że ma dużo aplikacji, tylko dlatego, że tożsamość, dane, praca i bezpieczeństwo są spięte w jeden system. Microsoft opisuje M365 jako platformę wspierającą produktywność i bezpieczeństwo. Microsoft / Microsoft Learn.
Przeczytaj więcej