Inhalt des Artikels
- Um DKIM Office 365 korrekt einzurichten, benötigt jede benutzerdefinierte Domäne, die E-Mails versendet, eine eigene DKIM-Konfiguration und veröffentlichte selektorbasierte CNAME-Einträge im öffentlichen DNS.
- Microsoft 365 signiert E-Mails für benutzerdefinierte Domänen erst, nachdem Sie die von Microsoft bereitgestellten DKIM-DNS-Einträge hinzugefügt und dann die Signierung auf der DKIM-Einstellungsseite explizit aktiviert haben.
- Die Validierung sollte sowohl DNS-Prüfungen als auch eine Live-Prüfung der Nachrichten-Header umfassen, damit Sie sich vergewissern können, dass die Domäne tatsächlich eine DKIM-Signatur auf ausgehende E-Mails anwendet.
- DKIM ist am effektivsten, wenn es mit SPF und DMARC als Teil einer umfassenderen Office 365 E-Mail-Sicherheitsstrategie kombiniert wird.
Wenn Sie Microsoft 365 verwenden, um E-Mails von einer benutzerdefinierten Domäne zu versenden, ist DKIM eine der wichtigsten Kontrollen, die Sie aktivieren müssen. DKIM(DomainKeys Identified Mail) fügt ausgehenden E-Mails eine kryptografische Signatur hinzu, damit die empfangenden Systeme die Authentizität und Integrität von überprüfen können.
Wenn DKIM richtig konfiguriert ist, hilft es, Spoofing zu reduzieren, unterstützt eine stärkere E-Mail-Authentifizierung und verbessert die Zustellbarkeit der E-Mail . Diese Anleitung beschreibt die wichtigsten Schritte zur Einrichtung von DKIM in Office 365-Umgebungen.
Schritt 1: Bestätigen Sie die Voraussetzungen, bevor Sie DKIM aktivieren
Bevor Sie einen DKIM-Eintrag in Office 365 einrichten, stellen Sie sicher, dass die Umgebung bereit ist. Der Prozess von Microsoft setzt voraus, dass die Domäne bereits in Microsoft 365 aktiv ist und dass Ihr Team sowohl die DNS-Seite als auch die Microsoft 365-Seite der Konfiguration verwalten kann.
Bestätigen Sie das Folgende, bevor Sie fortfahren:
- Die benutzerdefinierte Domäne wurde bereits in Microsoft 365 hinzugefügt und überprüft.
- Sie haben Zugriff auf den öffentlichen DNS der Domain
- Sie haben ausreichende Administratorrechte in Microsoft 365
- Sie haben alle benutzerdefinierten Domänen und Unterdomänen identifiziert, die E-Mails versenden
- Sie wissen, dass die Standarddomäne .onMicrosoft.com keine manuelle DKIM-Einrichtung erfordert.
Dieser Planungsschritt hilft dabei, verpasste Domains, unvollständige Signaturen und vermeidbare Einrichtungsfehler später im Prozess zu vermeiden.
Schritt 2: Erzeugen oder Anzeigen der DKIM-Schlüssel in Microsoft 365
Microsoft verwaltet Office 365 DKIM über die Seite DKIM-Einstellungen in der Microsoft 365 Sicherheitsumgebung.
Die Admin-Pfade und die Benutzeroberfläche von Microsoft ändern sich im Laufe der Zeit. Daher ist es sicherer, die Seite mit den DKIM-Einstellungen in der Sicherheitsumgebung von Microsoft 365 aufzurufen, die oft über Microsoft 365 Defender oder die breitere Microsoft Defender-Erfahrung aufgerufen wird. Dies ist in der Regel die bessere Option, als sich auf einen genauen Klickpfad zu verlassen.
Wählen Sie die benutzerdefinierte Senderdomäne auf der DKIM-Seite aus. Wenn Microsoft eine Option zum Erstellen von DKIM-Schlüsseln anzeigt, verwenden Sie diese. Wenn die Schaltfläche nicht angezeigt wird, fahren Sie mit dem nächsten Schritt fort und verwenden Sie die Selektorwerte, die Microsoft bereits für diese Domäne bereitstellt.
In diesem Stadium müssen Sie die beiden Selektor-basierten Werte erfassen, die Microsoft zur Verfügung stellt. Diese verwenden in der Regel das Benennungsmuster :
- selector1._domainkey
- selector2._domainkey
Beachten Sie, dass dies keine TXT-Datensätze sind. Dies sind die beiden CNAME-Einträge, die Sie laut Microsoft veröffentlichen müssen, bevor Sie die DKIM-Signierung aktivieren können. Jeder Selektor fungiert als DKIM-Selektor, und Microsoft verwendet sie, um die Signierung und die künftige Verwaltung des Schlüssels zu unterstützen, einschließlich der Möglichkeit, DKIM zu einem späteren Zeitpunkt zu ändern, ohne den Mailfluss zu unterbrechen.
Schritt 3: Veröffentlichen Sie die beiden DKIM CNAME-Einträge im öffentlichen DNS
Verwenden Sie genau die von Microsoft bereitgestellten Selektornamen und Zielwerte. Veröffentlichen Sie beide Selektoreinträge, nicht nur einen. Diese ist ein häufiger Punkt der Verwirrung, weil Administratoren manchmal annehmen, dass ein Datensatz ausreicht, aber Microsofts dokumentierte DKIM-Einrichtung erwartet, dass beide Datensätze vorhanden sind.
Nehmen Sie die Änderungen auf dem externen DNS-Host für die Domäne vor, nicht im internen DNS. Je nach Ihrem DNS-Anbieter können die Felder von wie folgt beschriftet sein:
- Host oder Name
- Ziel oder Punkte zu
- TTL
Belassen Sie die TTL auf dem Standardwert, es sei denn, Ihr Unternehmen hat eine spezielle DNS-Richtlinie. Die wichtigere Frage ist die Genauigkeit. Tippfehler, doppelte Einträge, zusätzliche Leerzeichen oder die Veröffentlichung der Datensätze unter dem falschen Domänenkontext sind unter die häufigsten Gründe, warum Microsoft die Datensätze später nicht erkennen kann.
Auch hier verwechseln Administratoren manchmal DKIM mit SPF. DKIM für Microsoft 365 verwendet hier CNAME-Einträge, nicht einen TXT-Eintrag wie einen SPF-Eintrag. SPF ist ein separater Teil Ihrer E-Mail-Authentifizierungseinstellungen, der normalerweise als TXT-Eintrag für Sender Policy Framework veröffentlicht wird. Microsoft dokumentiert SPF separat für benutzerdefinierte Domänen in Microsoft 365.
Schritt 4: Warten Sie die DNS-Verbreitung ab und aktivieren Sie dann die DKIM-Signierung.
Warten Sie nach der Veröffentlichung der DNS-Einträge auf die DNS-Verbreitung, bevor Sie versuchen, die Signierung zu aktivieren. In der Dokumentation von Microsoft wird darauf hingewiesen, dass die Datensätze möglicherweise nicht sofort sichtbar sind und die Ausbreitungszeit vom DNS-Anbieter und dem bestehenden TTL-Verhalten abhängt.
Sobald die Datensätze extern sichtbar sind, kehren Sie zur DKIM-Einstellungsseite in Microsoft 365 zurück, wählen die Domäne erneut aus, und aktivieren die Signierung für diese Domäne. In vielen Umgebungen bezeichnet Microsoft dies als Aktivieren oder Einschalten von DKIM für die ausgewählte Domäne.
In manchen DNS-Umgebungen reichen ein paar Minuten aus, aber es ist auch normal, dass dieser Vorgang 24 bis 48 Stunden dauert. Wenn Microsoft sagt, dass es die CNAME-Einträge nicht finden kann, nehmen Sie nicht gleich an, dass die Werte falsch sind.
Warten Sie etwas länger, überprüfen Sie die Datensätze erneut extern und versuchen Sie es dann erneut. Das DNS-Timing ist einer der häufigsten Gründe, warum -Administratoren denken, dass der DKIM-Office-Prozess fehlgeschlagen ist, obwohl es sich in Wirklichkeit nur um eine verzögerte Weiterleitung handelt.
Schritt 5: Überprüfen Sie, ob DKIM funktioniert
Überprüfen Sie nach der Aktivierung sowohl die DNS-Seite als auch den tatsächlichen E-Mail-Verkehr.
Verwenden Sie zunächst eine DKIM-Suche oder DKIM-Datensatzprüfung , um zu bestätigen, dass beide Selektor-basierten CNAME-Einträge korrekt aufgelöst werden. Dies zeigt, dass die DNS-Seite vorhanden ist.
Zweitens: Überprüfen Sie die Live-Signatur. Senden Sie eine Testnachricht von der konfigurierten Domäne an ein externes Postfach und prüfen Sie dann die Kopfzeilen der Nachricht . Sie möchten bestätigen:
- Nachricht enthält eine DKIM-Signatur
- Das Ergebnis zeigt einen DKIM-Pass
- Die signierende Domain entspricht der Domain, die Sie schützen möchten
Dies ist der wichtigste Validierungsschritt, denn ein sichtbarer DNS-Eintrag allein beweist nicht, dass die DKIM-Authentifizierung bei echten E-Mails stattfindet. Eine Domäne kann den Eintrag veröffentlicht haben und trotzdem fehlschlagen, wenn der falsche Absender getestet wird, wenn nicht korrekt aktiviert wurde oder wenn ein anderes System die Nachricht später während der Übertragung ändert.
Schritt 6: Beheben Sie häufige Probleme bei der DKIM-Einrichtung in Office 365
Die meisten Probleme bei der DKIM-Aktivierung lassen sich auf ein paar häufige Probleme bei der Einrichtung zurückführen. Wenn Microsoft 365 die Datensätze nicht erkennen kann oder die Signierung nicht zu funktionieren scheint, überprüfen Sie zunächst Folgendes:
- Vergewissern Sie sich, dass die Namen der Selektoren und die Zielwerte genau mit der Ausgabe von Microsoft übereinstimmen - Selbst ein kleiner Tippfehler im Selektor oder im Ziel kann verhindern, dass Microsoft die Datensätze findet.
- Vergewissern Sie sich, dass die Einträge als CNAME hinzugefügt wurden - Diese Einträge müssen als CNAME-Einträge veröffentlicht werden, nicht als TXT-Eintrag oder einen anderen DNS-Typ.
- Stellen Sie sicher, dass die Datensätze in der richtigen öffentlichen DNS-Zone vorhanden sind - Die Datensätze müssen der externen DNS-Zone für die richtige benutzerdefinierte Domain hinzugefügt werden, nicht einer internen Zone oder der falschen Domain.
- Planen Sie mehr Zeit für die DNS-Verbreitung ein - Eine korrekte Einrichtung kann immer noch bei den ersten Prüfungen scheitern, wenn das öffentliche DNS noch nicht vollständig aktualisiert wurde.
- Trennen Sie die Signierung von Microsoft 365 von anderen Versanddiensten - Eine gültige Microsoft 365 DKIM-Einrichtung gilt nur für E-Mails , die von Microsoft 365 signiert wurden. Wenn andere Tools E-Mails von derselben Domäne aus versenden, wie z.B. CRMs, Ticketing-Plattformen oder secure mail services, benötigen sie möglicherweise eine eigene DKIM-Konfiguration und eine Überprüfung der Ausrichtung.
Schritt 7: Erweitern Sie den Schutz über die Ersteinrichtung hinaus
DKIM sollte nicht als eigenständige Kontrolle behandelt werden. Es funktioniert am besten zusammen mit SPF und DMARC. DKIM signiert die Nachricht und hilft, die Integrität zu bestätigen. SPF identifiziert zugelassene E-Mail-Quellen für die Domain.
DMARC wendet Richtlinien und Berichte an, wenn die Authentifizierung fehlschlägt, was Spoofing erschwert und dazu beiträgt, die Zustellbarkeit und das Vertrauen in E-Mails zu verbessern. Microsoft empfiehlt ausdrücklich die gemeinsame Verwendung von DKIM, SPF und DMARC für Microsoft 365-Domänen.
In Umgebungen mit mehreren Domänen wiederholen Sie den Vorgang für jede benutzerdefinierte Domäne, die E-Mails von dem Mandanten sendet. Wenn Sie viele Domains verwalten, kann PowerShell Ihnen helfen, die Arbeit zu skalieren. Die DKIM-Anleitung von Microsoft verweist auf PowerShell-basierte Prüfungen der Domäne , und in größeren Umgebungen verwenden Teams häufig Exchange Online PowerShell für die Bestandsaufnahme, Validierung und Automatisierung der E-Mail-Konfiguration.
Sie sollten auch daran denken, dass einige nicht sendende Domänen immer noch durch strengere Authentifizierungsrichtlinien vor Spoofing geschützt werden können, insbesondere wenn DMARC in Office 365 eingerichtet ist. Das Ziel ist nicht nur das Signieren von E-Mails, sondern die Reduzierung des Missbrauchs im gesamten Domainportfolio des Unternehmens.
Richten Sie DKIM in Office 365 als Teil einer stärkeren Authentifizierungsstrategie ein
Um DKIM Office 365 erfolgreich einzurichten, beginnen Sie mit den Grundlagen: Überprüfen Sie die Domäne, erfassen Sie die von Microsoft bereitgestellten Selektorwerte, veröffentlichen Sie beide erforderlichen CNAME-Einträge im öffentlichen DNS, warten Sie auf die Verbreitung und aktivieren Sie dann die Signierung in Microsoft 365. Danach überprüfen Sie die Ergebnisse sowohl durch DNS-Prüfungen als auch durch Live-Nachrichten-Header.
Wenn DKIM für jede benutzerdefinierte Domain richtig konfiguriert ist, stärkt es den Domainschutz, unterstützt die Zustellbarkeit von E-Mails, und verbessert das Vertrauen in geschäftskritische E-Mails. Und wenn es mit SPF und DMARC kombiniert wird, wird es Teil einer viel effektiveren E-Mail-Sicherheitsgrundlage.