DKIM-Einrichtung für Office 365: Signatur für Microsoft 365 konfigurieren
von
Zuletzt aktualisiert: 10 Lesezeit: 10 Minuten
Wichtigste Erkenntnisse
- DKIM versieht ausgehende E-Mails mit einer digitalen Signatur, damit empfangende Server überprüfen können, ob die Nachricht von einer autorisierten Quelle stammt und während der Übertragung nicht verändert wurde.
- Microsoft 365 verwaltet DKIM für onmicrosoft.com-Domains automatisch. Eine manuelle Konfiguration ist nur für benutzerdefinierte Domains erforderlich und umfasst die Erstellung von zwei CNAME-Einträgen in Ihrem DNS.
- Die DKIM-Signierung wird über das Microsoft Defender-Portal aktiviert, sobald die CNAME-Einträge veröffentlicht und erkannt wurden.
- DKIM allein reicht nicht aus. Es sollte stets zusammen mit SPF und DMARC konfiguriert werden, um eine vollständige E-Mail-Authentifizierung und einen umfassenden Schutz der Domain zu gewährleisten.
- DKIM-Schlüssel sollten alle ein bis zwei Jahre ausgetauscht werden, um eine hohe E-Mail-Sicherheit zu gewährleisten.
Wenn Sie E-Mails über Microsoft 365 versenden und DKIM für Ihre benutzerdefinierte Domain nicht konfiguriert haben, werden Ihre E-Mails ohne digitale Signatur versendet. Das bedeutet, dass die empfangenden Server nicht überprüfen können, ob Ihre Nachrichten während der Übertragung verändert wurden, und Ihre Domain ist dadurch anfälliger für Spoofing.
Die Einrichtung von DKIM für Office 365 ist einer der wichtigsten Schritte beim Aufbau einer sicheren und vertrauenswürdigen E-Mail-Umgebung.
Dieser Leitfaden erklärt Ihnen alles: Was DKIM bewirkt, wie Microsoft 365 damit umgeht und wie Sie es genau für Ihre eigene Domain konfigurieren.
Was ist DKIM und warum ist es für Microsoft 365 wichtig?
Bevor wir den Einrichtungsprozess durchgehen, sollten Sie wissen, was DKIM bewirkt und warum es ein wesentlicher Bestandteil Ihrer Microsoft 365-E-Mail-Konfiguration ist.
DomainKeys Identified Mail (DKIM) ist ein E-Mail-Authentifizierungsprotokoll, das jeder ausgehenden E-Mail eine kryptografische digitale Signatur hinzufügt. Beim Versand einer Nachricht verwendet die signierende Domain einen privaten Schlüssel, um die Signatur zu generieren.
Der empfangende Server ruft daraufhin den entsprechenden öffentlichen Schlüssel aus dem DNS ab und verwendet ihn, um zu überprüfen, ob der Nachrichtentext und die Kopfzeilen während der Übertragung nicht verändert wurden.
Was DKIM für Ihre E-Mails leistet
| Vorteil | So funktioniert es |
|---|---|
| Überprüft die Integrität der Nachricht | Eine kryptografische Signatur bestätigt, dass die Nachricht nach dem Versand nicht verändert wurde |
| Verhindert Domain-Spoofing | Erschwert es Angreifern erheblich, E-Mails von Ihrer Domain zu fälschen |
| Verbessert die Zustellbarkeit von E-Mails | Authentifizierte E-Mails werden von Gmail, Yahoo und anderen Anbietern seltener als Spam markiert |
| Stärkt das Vertrauen in den Absender | Eine gültige DKIM-Signatur bedeutet, dass die signierende Domain die Verantwortung für die Nachricht übernimmt |
| Aktiviert die DMARC-Durchsetzung | DKIM ist eine erforderliche Angabe, damit DMARC ordnungsgemäß funktioniert |
Die Rolle von DKIM im Zusammenhang mit SPF und DMARC
DKIM arbeitet in Verbindung mit SPF und DMARC und bildet so ein umfassendes Rahmenwerk zur E-Mail-Authentifizierung. Jedes Protokoll deckt eine andere Ebene ab:
- SPF überprüft, ob der sendende Server berechtigt ist, E-Mails für Ihre Domain zu versenden
- DKIM überprüft, ob der Inhalt der Nachricht während der Übertragung nicht verändert wurde
- DMARC sorgt für die Einhaltung der Richtlinien, indem es verlangt, dass SPF und DKIM mit der Absenderadresse übereinstimmen
Damit DKIM die DMARC-Prüfungen besteht, muss die Domain in der Absenderadresse mit der in der DKIM-Signatur verwendeten Domain übereinstimmen. Diese Anforderung an die Übereinstimmung macht die Kombination aus SPF, DKIM und DMARC so wirksam gegen Phishing-Angriffe und Spoofing macht.
DKIM allein reicht nicht aus, um alle Arten von E-Mail-Spoofing zu verhindern. Für einen umfassenden Schutz muss es zusammen mit SPF und DMARC eingesetzt werden. Wie Sie DMARC zusätzlich zu Ihrer Microsoft 365-DKIM-Konfiguration implementieren, erfahren Sie weiter unten in diesem Leitfaden.
Wie Microsoft 365 mit DKIM umgeht
Wenn Sie wissen, wie Microsoft 365 DKIM standardmäßig handhabt, vermeiden Sie unnötige Verwirrung bei der Einrichtung.
Was Microsoft automatisch erledigt
Microsoft aktiviert automatisch die DKIM-Signierung für die primäre onmicrosoft.com-Domäne, die mit Ihrem Microsoft 365-Mandanten verknüpft ist. Wenn Sie E-Mails ausschließlich von yourcompany.onmicrosoft.com versenden, funktioniert DKIM bereits ohne manuelle Konfiguration.
Was muss manuell eingerichtet werden?
Für jede benutzerdefinierte Domain, die Sie zum Versenden von E-Mails verwenden, ist eine manuelle DKIM-Konfiguration erforderlich.
Wenn Ihre Organisation E-Mails über eine eigene Domain wie yourcompany.com versendet, müssen Sie CNAME-Einträge in Ihrem DNS erstellen und die DKIM-Signierung über das Microsoft Defender-Portal aktivieren.
Jede Subdomain, die zum Versenden von E-Mails aus Microsoft 365 verwendet wird, erfordert zudem eine eigene DKIM-Konfiguration. DKIM wird nicht automatisch von einer Root-Domain auf deren Subdomains übertragen.
Das Zwei-Wahlschalter-System
Microsoft 365 verwendet für jede benutzerdefinierte Domain zwei DKIM-Selektoren: selector1 und selector2.
Durch die Verwendung von zwei Selektoren kann Microsoft DKIM-Schlüssel automatisch rotieren lassen, um die Sicherheit zu erhöhen. Bei der Einrichtung von DKIM erstellen Sie CNAME-Einträge für beide Selektoren, die auf die von Microsoft 365 generierten öffentlichen Schlüssel verweisen.
| Expertenmeinung: „Nach meiner Erfahrung bei der Unterstützung von Unternehmen bei der Implementierung von DKIM spart die Automatisierung der DKIM-Überwachung mit PowerDMARC nicht nur Zeit, sondern hilft auch dabei, Konfigurationsfehler zu erkennen, bevor sie sich auf die E-Mail-Zustellbarkeit auswirken. Dies ist besonders wichtig für SaaS-Unternehmen und regulierte Branchen, in denen die Zuverlässigkeit von E-Mails von größter Bedeutung ist.“ |
Voraussetzungen für die Einrichtung von DKIM in Office 365
Bevor Sie mit der Einrichtung von DKIM beginnen, vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind.
| Voraussetzung | Details |
|---|---|
| Administratorzugriff | Für die Durchführung der Schritte zur DKIM-Einrichtung ist die Rolle eines Globaladministrators oder Exchange-Administrators erforderlich |
| Eigene Domain verifiziert | Ihre benutzerdefinierte Domain muss in Microsoft 365 verifiziert sein, bevor DKIM konfiguriert werden kann |
| DNS-Zugriff | Sie benötigen Zugriff auf Ihren Domain-Registrar oder DNS-Hosting-Anbieter, um CNAME-Einträge zu veröffentlichen |
| SPF konfiguriert | SPF sollte für Ihre Domain bereits eingerichtet sein, bevor Sie DKIM aktivieren |
Falls SPF für Ihre Domain noch nicht konfiguriert ist, richten Sie dies bitte zuerst ein. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Leitfaden zum Thema Einrichtung von SPF.
So richten Sie DKIM für Office 365 ein: Schritt für Schritt
Die Einrichtung von DKIM für eine benutzerdefinierte Domain in Microsoft 365 umfasst drei wesentliche Schritte: Abrufen der Werte Ihrer CNAME-Einträge aus dem Microsoft Defender-Portal, Veröffentlichung dieser Einträge in Ihrem DNS und Aktivierung der DKIM-Signatur, sobald die Einträge erkannt wurden.
Der Vorgang ist unkompliziert, erfordert jedoch bei jedem Schritt Genauigkeit. Tippfehler in Ihren CNAME-Werten sind der häufigste Grund für fehlgeschlagene DKIM-Einrichtungen; nehmen Sie sich daher Zeit für die DNS-Konfiguration.
Schritt 1: Rufen Sie Ihre DKIM-CNAME-Eintragwerte aus Microsoft 365 ab
Microsoft 365 generiert genau die CNAME-Einträge, die Sie in Ihrem DNS veröffentlichen müssen. So finden Sie sie:
- Melden Sie sich beim Microsoft Defender-Portal
- Navigieren Sie zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien
- Auswählen Einstellungen für die E-Mail-Authentifizierung
- Klicken Sie auf die DKIM Registerkarte
- Wählen Sie Ihre eigene Domain aus der Liste aus
- Öffnen Sie das Detail-Flyout für diese Domain
Das Portal zeigt die beiden erforderlichen CNAME-Einträge an. Falls DKIM noch nicht aktiviert werden kann, gibt das Portal die Werte an, die in den CNAME-Einträgen verwendet werden müssen.
Die grundlegende Syntax der DKIM-CNAME-Einträge für benutzerdefinierte Domains folgt diesem Format:
| Hostname | Verweist auf |
|---|---|
| selector1._domainkey.deinedomain.com | selector1-deine-domain-com._domainkey.dein-tenantname.onmicrosoft.com |
| selector2._domainkey.deineDomain.com | selector2-deine-domain-com._domainkey.dein-mandantenname.onmicrosoft.com |
Verwenden Sie stets die genauen Werte, die im Defender-Portal für Ihre spezifische Domäne und Ihren Mandanten angezeigt werden, und keine allgemeine Vorlage.
Schritt 2: Erstellen Sie die CNAME-Einträge in Ihrem DNS
Melden Sie sich bei Ihrem Domain-Registrar oder DNS-Hosting-Anbieter an und erstellen Sie zwei neue CNAME-Einträge mit den Werten aus dem vorherigen Schritt.
Wichtige Punkte, die beim Hinzufügen der Datensätze zu beachten sind:
- Der Eintragstyp muss auf CNAME, nicht auf TXT oder einen anderen Typ
- Die Hostnamen müssen das vollständige Selektor-Präfix enthalten: selector1._domainkey und selector2._domainkey
- Überprüfen Sie die CNAME-Werte sorgfältig auf Tippfehler. Fehler beim Domain-Registrar sind die häufigste Ursache für Fehler bei der DKIM-Einrichtung
- Fügen Sie nicht mehrere widersprüchliche Einträge für denselben Hostnamen hinzu
Es kann bis zu 48 Stunden dauern, bis sich DNS-Änderungen weltweit durchgesetzt haben, obwohl dies oft viel schneller geschieht. Es kann einige Minuten bis zu einigen Stunden dauern, bis Microsoft 365 die neuen CNAME-Einträge erkennt.
Schritt 3: Aktivieren Sie die DKIM-Signatur im Microsoft Defender-Portal
Sobald Ihre CNAME-Einträge veröffentlicht und übernommen wurden, kehren Sie zur Registerkarte „DKIM“ im Microsoft Defender-Portal zurück:
- Wählen Sie Ihre eigene Domain aus
- Das Detail-Flyout öffnen
- Umschalten DKIM-Signaturen für Nachrichten dieser Domain aktivieren auf „Aktiviert“
Der Status der Domain auf der Registerkarte „DKIM“ muss gültige Werte anzeigen, damit die DKIM-Signierung aktiviert werden kann. Wenn das Portal Ihre CNAME-Einträge nicht erkennen kann, wird eine Fehlermeldung zusammen mit den erwarteten Werten angezeigt. Überprüfen Sie Ihre DNS-Einträge noch einmal auf ihre Richtigkeit, bevor Sie es erneut versuchen.
Nach der Aktivierung von DKIM kann es einige Zeit dauern, bis der Status aktualisiert wird und bestätigt, dass DKIM-Signaturen auf ausgehende Nachrichten angewendet werden.
Schritt 4: Überprüfen Sie, ob DKIM funktioniert
Um zu überprüfen, ob die DKIM-Signatur aktiv ist, senden Sie eine Test-E-Mail von Ihrer benutzerdefinierten Domain an eine Gmail-Adresse und sehen Sie sich den Kopf der Nachricht an:
- Öffne die empfangene E-Mail in Gmail
- Klicken Sie auf das Drei-Punkte-Menü und wählen Sie „Original anzeigen“
- Achten Sie auf die DKIM-Signature im Roh-Header der Nachricht
- Vergewissern Sie sich, dass die DKIM-Signatur vorhanden ist und dass der Wert „d=“ mit Ihrer benutzerdefinierten Domain übereinstimmt
- Der Wert „s=“ im DKIM-Signature-Header gibt den derzeit verwendeten Selektor an
Ein positives DKIM-Ergebnis im Nachrichtenkopf bestätigt, dass die DKIM-Signierung für Ihre benutzerdefinierte Domain aktiv ist und ordnungsgemäß funktioniert.
| Benötigen Sie Hilfe bei der Fehlerbehebung für DKIM? Unsere E-Mail-Sicherheitsexperten bei PowerDMARC können Ihnen helfen, Probleme bei der DKIM-Konfiguration schnell zu beheben. Starten Sie Ihre kostenlose Testversion und profitieren Sie von fachkundigem Support und automatisierter Überwachung. |
So konfigurieren Sie DKIM mit PowerShell
Für fortgeschrittene Benutzer und Administratoren bietet Exchange Online PowerShell leistungsstarke Tools zur Verwaltung und Konfiguration von E-Mail-Einstellungen, einschließlich DKIM. Mithilfe von PowerShell-Befehlen können Sie die DKIM-Einrichtung automatisieren, die DKIM-Signierung für Ihre benutzerdefinierten Domänen aktivieren oder deaktivieren und Probleme effizient beheben – besonders nützlich bei der Verwaltung mehrerer Domänen oder komplexer Umgebungen.
Sie können PowerShell verwenden, um die DKIM-Konfiguration für Exchange Online in Office 365 zu aktivieren, insbesondere wenn Sie diese für mehrere Domänen aktivieren möchten. Gehen Sie dazu wie folgt vor:
1. Verbinden Sie sich mit Exchange Online
2. Extrahieren Sie Ihre Office 365 DKIM-Selektoren, indem Sie das folgende Skript ausführen:
3. Fügen Sie die CNAME-Einträge, die Sie von Office 365 erhalten haben, zu Ihrem DNS hinzu
4. Führen Sie den folgenden Befehl aus, um DKIM für die Domäne zu aktivieren:
Wichtige Überlegungen und Einschränkungen bei der DKIM-Implementierung
DKIM ist eine leistungsstarke E-Mail-Authentifizierungsprotokoll , das jedoch mit technischen Einschränkungen verbunden ist, die man vor und während der Implementierung unbedingt kennen sollte.
Wenn Sie diese Einschränkungen von vornherein kennen, können Sie häufige Fallstricke vermeiden, Ihre Konfiguration richtig planen und realistische Erwartungen daran stellen, wovor DKIM allein schützen kann und wovor nicht.
| Überlegung | Was Sie wissen müssen |
|---|---|
| Schlüssellänge | Microsoft 365 verwendet standardmäßig 2048-Bit-Verschlüsselungsschlüssel, die einen hohen Schutz für ausgehende Nachrichten bieten |
| DNS-Verbreitung | Nach der Veröffentlichung Ihrer CNAME-Einträge kann es bis zu 48 Stunden dauern, bis die DNS-Änderungen weltweit wirksam werden, auch wenn dies oft viel schneller geschieht |
| DKIM-Schlüsselrotation | Wechseln Sie die DKIM-Schlüssel alle ein bis zwei Jahre, um eine hohe E-Mail-Sicherheit zu gewährleisten und das Risiko zu verringern, dass alte Schlüssel missbraucht werden |
| Mehrere Domains | Jede benutzerdefinierte Domain, die zum Versenden von E-Mails verwendet wird, erfordert eine eigene DKIM-Konfiguration. DKIM wird nicht automatisch von einer Root-Domain auf deren Subdomains übertragen. |
| Nicht genutzte Domains | Veröffentlichen Sie keine DKIM-Einträge für Domains, die niemals E-Mails versenden. Andernfalls könnte eine DKIM-Validierung gefälschter Nachrichten erfolgen, die von diesen Domains versendet werden. |
Einschränkungen von DKIM
Zu verstehen, wo DKIM an seine Grenzen stößt, ist genauso wichtig wie zu wissen, was es leistet. Genau diese Einschränkungen sind der Grund, warum DKIM immer zusammen mit SPF und DMARC eingesetzt werden sollte, anstatt als eigenständige Lösung betrachtet zu werden.
E-Mail-Weiterleitung
DKIM-Signaturen können bei der Weiterleitung von E-Mails beschädigt werden. Wenn eine Nachricht weitergeleitet wird, ändern manche Mailserver den Kopf oder den Text der Nachricht in einer Weise, die die ursprüngliche DKIM-Signatur ungültig macht.
Dies ist einer der Hauptgründe, warum DMARC eine Abstimmung zwischen SPF und DKIM erfordert, anstatt sich allein auf eines der beiden Verfahren zu verlassen.
Nachrichtenbearbeitung
Jede Änderung am E-Mail-Inhalt nach der Signierung führt zur Ungültigkeit der DKIM-Signatur. Dies umfasst auch Änderungen durch Mailinglisten, E-Mail-Gateways oder Tools zur Inhaltsfilterung, die den Nachrichtentext oder bestimmte Kopfzeilenfelder vor der Zustellung verändern.
Versanddienste von Drittanbietern
Externe E-Mail-Dienste, die in Ihrem Namen E-Mails versenden, wie beispielsweise Marketingplattformen, CRM-Systeme und Helpdesk-Tools, erfordern möglicherweise zusätzliche DKIM-Konfigurationerfordern.
In der Regel muss jeder externe Absender ausgehende Nachrichten entweder mit Ihrer Domain oder mit seiner eigenen signieren, und dies muss in Ihrer allgemeinen E-Mail-Authentifizierungskonfiguration überprüft und berücksichtigt werden.
Hybride Umgebungen
Unternehmen, die in einer Hybridumgebung sowohl lokal installiertes Exchange als auch Microsoft 365 nutzen, müssen bei der Konfiguration der DKIM-Signatur möglicherweise besondere Aspekte berücksichtigen.
Nachrichten, die über lokale Server weitergeleitet werden, bevor sie Microsoft 365 erreichen, können sich anders verhalten als beim reinen Cloud-Versand. Daher sollte die DKIM-Konfiguration den gesamten Nachrichtenfluss berücksichtigen, bevor die Signierung aktiviert wird.
Richten Sie DKIM für Office 365 richtig mit PowerDMARC ein!
Warum PowerDMARC?
„PowerDMARC hat die Implementierung von DKIM für uns zum Kinderspiel gemacht und uns durch die automatisierte Überwachung Sicherheit gegeben.“ – IT-Manager, FinTech-Unternehmen
|
Richten Sie DKIM ein und nutzen Sie die weiteren Funktionen von PowerDMARC
Die Aktivierung der DKIM-Signatur für Ihre benutzerdefinierte Microsoft 365-Domain ist ein entscheidender Schritt zur Sicherung Ihrer E-Mails. DKIM allein deckt jedoch nur einen Teil des Gesamtbildes ab.
Ohne DMARC, das die Übereinstimmung sicherstellt und Einblick in Ihren E-Mail-Verkehr gewährt, bleibt Ihre Domain anfällig für Spoofing und Identitätsbetrug, die DKIM allein nicht verhindern kann.
Mit PowerDMARC ist der Übergang von der DKIM -Einrichtung zur vollständigen DMARC -Durchsetzung ganz einfach. Mit gehostetem DMARC, automatisierter Berichterstellung und einer Plattform, die darauf ausgelegt ist, jede Phase der E-Mail-Authentifizierung zu vereinfachen, bietet Ihnen PowerDMARC vollständige Transparenz darüber, wer in Ihrem Namen E-Mails versendet, sowie die Tools, um Ihre Domain dauerhaft zu sichern.
Nehmen Sie an einem kostenlosen DMARC-Testversion und überzeugen Sie sich noch heute von den Vorteilen.
FAQs
1. Wie stelle ich sicher, dass DKIM für alle Exchange Online-Domänen aktiviert ist?
Um sicherzustellen, dass DKIM für alle Ihre Exchange Online-Domänen aktiviert ist, überprüfen Sie im Microsoft Defender-Portal unter E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > DKIM. Überprüfen Sie, ob DKIM für jede benutzerdefinierte Domäne aktiviert ist.
2. Wie rotiert man DKIM-Schlüssel in Office 365?
Um DKIM-Schlüssel in Office 365 zu rotieren, müssen Sie neue CNAME-Einträge für die neuen Schlüssel in Ihrem DNS generieren und anschließend die DKIM-Signierung für diese neuen Schlüssel im Microsoft Defender-Portal aktivieren. Dieser Vorgang trägt zur Verbesserung der Sicherheit bei, indem die kryptografischen Schlüssel, mit denen Ihre E-Mails signiert werden, regelmäßig aktualisiert werden.
3. Wie oft sollten DKIM-Schlüssel ausgetauscht werden?
Es wird empfohlen, Ihre DKIM-Schlüssel alle 1 bis 2 Jahre zu erneuern, oder früher, wenn Sie den Verdacht haben, dass Ihre Schlüssel kompromittiert worden sind. Die regelmäßige Erneuerung trägt zur Aufrechterhaltung einer hohen E-Mail-Sicherheit bei und verhindert, dass Angreifer alte Schlüssel ausnutzen.
4. Welche Schlüssellänge wird für DKIM-Einträge empfohlen?
Microsoft Office 365 verwendet standardmäßig 2048-Bit-DKIM-Schlüssel, die ein hohes Maß an Sicherheit bieten und als aktueller Industriestandard gelten. Diese Schlüssellänge bietet hervorragenden Schutz vor kryptografischen Angriffen und gewährleistet gleichzeitig eine gute Leistung.
5. Wie arbeiten SPF, DKIM und DMARC zusammen, um E-Mails zu schützen?
SPF autorisiert Absenderserver, DKIM überprüft die Integrität von Nachrichten durch digitale Signaturen, und DMARC sorgt für die Durchsetzung von Richtlinien, indem es die Ergebnisse von SPF und DKIM kombiniert. Zusammen bilden sie ein umfassendes Rahmenwerk zur E-Mail-Authentifizierung, das vor Spoofing und Phishing schützt und sicherstellt, dass legitime E-Mails ihre vorgesehenen Empfänger erreichen.
6. Was soll ich tun, wenn in meinen ausgehenden E-Mails keine DKIM-Signaturen angezeigt werden?
Falls in Ihren ausgehenden E-Mails keine DKIM-Signaturen angezeigt werden, überprüfen Sie bitte, ob DKIM in Ihrem Versanddienst aktiviert ist und ob der richtige öffentliche DKIM-Schlüssel in Ihrem DNS veröffentlicht ist. Vergewissern Sie sich außerdem, dass der Selektor übereinstimmt und dass die DNS-Änderungen vollständig übernommen wurden. Sollte das Problem weiterhin bestehen, überprüfen Sie bitte die Einstellungen Ihres E-Mail-Servers oder wenden Sie sich an Ihren E-Mail-Anbieter.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.
Neueste Beiträge von Yunes Tarada (alle anzeigen)
