Wichtigste Erkenntnisse
- DKIM versieht ausgehende E-Mails mit einer digitalen Signatur, damit empfangende Server überprüfen können, ob die Nachricht von einer autorisierten Quelle stammt und während der Übertragung nicht verändert wurde.
- Microsoft 365 verwaltet DKIM für onmicrosoft.com-Domains automatisch. Eine manuelle Konfiguration ist nur für benutzerdefinierte Domains erforderlich und umfasst die Erstellung von zwei CNAME-Einträgen in Ihrem DNS.
- Die DKIM-Signierung wird über das Microsoft Defender-Portal aktiviert, sobald die CNAME-Einträge veröffentlicht und erkannt wurden.
- DKIM allein reicht nicht aus. Es sollte stets zusammen mit SPF und DMARC konfiguriert werden, um eine vollständige E-Mail-Authentifizierung und einen umfassenden Schutz der Domain zu gewährleisten.
- DKIM-Schlüssel sollten alle ein bis zwei Jahre ausgetauscht werden, um eine hohe E-Mail-Sicherheit zu gewährleisten.
- Mit PowerDMARC stellen Sie die Einhaltung der DKIM- und DMARC-Standards für die Finanzbranche, das Gesundheitswesen, den öffentlichen Sektor und weitere Bereiche sicher.
Wenn Sie E-Mails über Microsoft 365 versenden und DKIM für Ihre benutzerdefinierte Domain nicht konfiguriert haben, werden Ihre E-Mails ohne digitale Signatur versendet. Das bedeutet, dass die empfangenden Server nicht überprüfen können, ob Ihre Nachrichten während der Übertragung verändert wurden, und Ihre Domain ist dadurch anfälliger für Spoofing.
Die Einrichtung von DKIM für Office 365 ist einer der wichtigsten Schritte beim Aufbau einer sicheren und vertrauenswürdigen E-Mail-Umgebung.
Dieser Leitfaden erklärt Ihnen alles: Was DKIM bewirkt, wie Microsoft 365 damit umgeht und wie Sie es genau für Ihre eigene Domain konfigurieren.
Was ist DKIM und warum ist es für Microsoft 365 wichtig?
Bevor wir den Einrichtungsprozess durchgehen, sollten Sie wissen, was DKIM bewirkt und warum es ein wesentlicher Bestandteil Ihrer Microsoft 365-E-Mail-Konfiguration ist.
DomainKeys Identified Mail (DKIM) ist ein E-Mail-Authentifizierungsprotokoll, das jeder ausgehenden E-Mail eine kryptografische digitale Signatur hinzufügt. Beim Versand einer Nachricht verwendet die signierende Domain einen privaten Schlüssel, um die Signatur zu generieren.
Der empfangende Server ruft daraufhin den entsprechenden öffentlichen Schlüssel aus dem DNS ab und verwendet ihn, um zu überprüfen, ob der Nachrichtentext und die Kopfzeilen während der Übertragung nicht verändert wurden.
Was DKIM für Ihre E-Mails leistet
| Vorteil | So funktioniert es |
|---|---|
| Überprüft die Integrität der Nachricht | Eine kryptografische Signatur bestätigt, dass die Nachricht nach dem Versand nicht verändert wurde |
| Verhindert Domain-Spoofing | Erschwert es Angreifern erheblich, E-Mails von Ihrer Domain zu fälschen |
| Verbessert die Zustellbarkeit von E-Mails | Authentifizierte E-Mails werden von Gmail, Yahoo und anderen Anbietern seltener als Spam markiert |
| Stärkt das Vertrauen in den Absender | Eine gültige DKIM-Signatur bedeutet, dass die signierende Domain die Verantwortung für die Nachricht übernimmt |
| Aktiviert die DMARC-Durchsetzung | DKIM ist eine erforderliche Angabe, damit DMARC ordnungsgemäß funktioniert |
Die Rolle von DKIM im Zusammenhang mit SPF und DMARC
DKIM arbeitet in Verbindung mit SPF und DMARC und bildet so ein umfassendes Rahmenwerk zur E-Mail-Authentifizierung. Jedes Protokoll deckt eine andere Ebene ab:
- SPF überprüft, ob der sendende Server berechtigt ist, E-Mails für Ihre Domain zu versenden
- DKIM überprüft, ob der Inhalt der Nachricht während der Übertragung nicht verändert wurde
- DMARC sorgt für die Einhaltung der Richtlinien, indem es verlangt, dass SPF und DKIM mit der Absenderadresse übereinstimmen
Vergleich von DKIM, SPF und DMARC
| Protokoll | Zweck | Einrichtungsschritte | Schutz vor |
|---|---|---|---|
| SPF | Autorisierte Absenderserver | TXT-Eintrag mit autorisierten IP-Adressen veröffentlichen | IP-Spoofing |
| DKIM | Überprüft die Integrität der Nachricht | CNAME-Einträge erstellen, Signierung aktivieren | Manipulation von Nachrichten |
| DMARC | Setzt die Ausrichtungsrichtlinie durch | Richtlinieneinträge veröffentlichen, Berichte überwachen | Domain-Spoofing |
Damit DKIM die DMARC-Prüfungen besteht, muss die Domain in der Absenderadresse mit der in der DKIM-Signatur verwendeten Domain übereinstimmen. Diese Anforderung an die Übereinstimmung macht die Kombination aus SPF, DKIM und DMARC so wirksam gegen Phishing-Angriffe und Spoofing macht.
DKIM allein reicht nicht aus, um alle Arten von E-Mail-Spoofing zu verhindern. Für einen umfassenden Schutz muss es zusammen mit SPF und DMARC eingesetzt werden. Wie Sie DMARC zusätzlich zu Ihrer Microsoft 365-DKIM-Konfiguration implementieren, erfahren Sie weiter unten in diesem Leitfaden.
Hier erfahren Sie, warum mehr als 10.000 Kunden der Plattform von PowerDMARC vertrauen
- Deutlicher Rückgang von Spoofing-Versuchen und unerwünschten E-Mails durch KI-gestützte Bedrohungsinformationen
- Schnellere Einarbeitung + automatisierte Authentifizierungsverwaltung, die IT-Teams viel Zeit spart
- Echtzeit-Bedrohungsinformationen und PGP-verschlüsselte Berichterstattung domänenübergreifend
- Bessere E-Mail-Zustellungsraten dank strikter DMARC-Durchsetzung unter fachkundiger Anleitung
Die ersten 15 Tage gehen auf unsere Kosten.
Kostenlose Testversion startenWie Microsoft 365 mit DKIM umgeht
Microsoft 365 handhabt DKIM unterschiedlich, je nachdem, ob Sie die Standarddomain „onmicrosoft.com“ oder eine benutzerdefinierte Domain verwenden. Wenn Sie diesen Unterschied kennen, vermeiden Sie Verwirrung bei der Einrichtung.
Was Microsoft automatisch erledigt
Microsoft aktiviert automatisch die DKIM-Signierung für die primäre onmicrosoft.com-Domäne, die mit Ihrem Microsoft 365-Mandanten verknüpft ist. Wenn Sie E-Mails ausschließlich von yourcompany.onmicrosoft.com versenden, funktioniert DKIM bereits ohne manuelle Konfiguration.
Was muss manuell eingerichtet werden?
Für jede benutzerdefinierte Domain, die Sie zum Versenden von E-Mails verwenden, ist eine manuelle DKIM-Konfiguration erforderlich.
Wenn Ihre Organisation E-Mails über eine eigene Domain wie yourcompany.com versendet, müssen Sie CNAME-Einträge in Ihrem DNS erstellen und die DKIM-Signierung über das Microsoft Defender-Portal aktivieren.
Jede Subdomain, die zum Versenden von E-Mails aus Microsoft 365 verwendet wird, erfordert zudem eine eigene DKIM-Konfiguration. DKIM wird nicht automatisch von einer Root-Domain auf deren Subdomains übertragen.
Das Zwei-Wahlschalter-System
Microsoft 365 verwendet für jede benutzerdefinierte Domain zwei DKIM-Selektoren: selector1 und selector2.
Durch die Verwendung von zwei Selektoren kann Microsoft die DKIM-Schlüssel automatisch rotieren lassen, um die Sicherheit zu erhöhen. Bei der Einrichtung von DKIM erstellen Sie CNAME-Einträge für beide Selektoren, die auf die von Microsoft 365 generierten öffentlichen Schlüssel verweisen.
| Expertenmeinung: „Nach meiner Erfahrung bei der Unterstützung von Unternehmen bei der Implementierung von DKIM spart die Automatisierung der DKIM-Überwachung mit PowerDMARC nicht nur Zeit, sondern hilft auch dabei, Konfigurationsfehler zu erkennen, bevor sie sich auf die E-Mail-Zustellbarkeit auswirken. Dies ist besonders wichtig für SaaS-Unternehmen und regulierte Branchen, in denen die Zuverlässigkeit von E-Mails von größter Bedeutung ist.“ |
Voraussetzungen für die Einrichtung von DKIM in Office 365
Bevor Sie mit der Einrichtung von DKIM beginnen, vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind.
| Voraussetzung | Details |
|---|---|
| Administratorzugriff | Für die Durchführung der Schritte zur DKIM-Einrichtung ist die Rolle eines Globaladministrators oder Exchange-Administrators erforderlich |
| Eigene Domain verifiziert | Ihre benutzerdefinierte Domain muss in Microsoft 365 verifiziert sein, bevor DKIM konfiguriert werden kann |
| DNS-Zugriff | Sie benötigen Zugriff auf Ihren Domain-Registrar oder DNS-Hosting-Anbieter, um CNAME-Einträge zu veröffentlichen |
| SPF konfiguriert | SPF sollte für Ihre Domain bereits eingerichtet sein, bevor Sie DKIM aktivieren |
Falls SPF für Ihre Domain noch nicht konfiguriert ist, richten Sie dies bitte zuerst ein. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Leitfaden zum Thema Einrichtung von SPF.
Schritt-für-Schritt-Anleitung: DKIM-Einrichtung für Office 365
Die Einrichtung von DKIM für eine benutzerdefinierte Domain in Microsoft 365 umfasst drei wesentliche Schritte: Abrufen der Werte Ihrer CNAME-Einträge aus dem Microsoft Defender-Portal, Veröffentlichung dieser Einträge in Ihrem DNS und Aktivierung der DKIM-Signatur, sobald die Einträge erkannt wurden.
Dieser Vorgang erfordert bei jedem Schritt größte Sorgfalt. Tippfehler in Ihren CNAME-Werten sind der häufigste Grund für Fehler bei der DKIM-Einrichtung. Nehmen Sie sich daher für die DNS-Konfiguration ausreichend Zeit.
Schritt 1: Rufen Sie Ihre DKIM-CNAME-Eintragwerte aus Microsoft 365 ab
Microsoft 365 generiert genau die CNAME-Einträge, die Sie in Ihrem DNS veröffentlichen müssen. So finden Sie sie:
- Melden Sie sich beim Microsoft Defender-Portal
- Navigieren Sie zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien
- Auswählen Einstellungen für die E-Mail-Authentifizierung
- Klicken Sie auf die DKIM Registerkarte
- Wählen Sie Ihre eigene Domain aus der Liste aus
- Öffnen Sie das Detail-Flyout für diese Domain
Das Portal zeigt die beiden erforderlichen CNAME-Einträge an. Falls DKIM noch nicht aktiviert werden kann, gibt das Portal die Werte an, die in den CNAME-Einträgen verwendet werden müssen.
Die grundlegende Syntax der DKIM-CNAME-Einträge für benutzerdefinierte Domains folgt diesem Format:
| Hostname | Verweist auf |
|---|---|
| selector1._domainkey.deinedomain.com | selector1-deine-domain-com._domainkey.dein-tenantname.onmicrosoft.com |
| selector2._domainkey.deineDomain.com | selector2-deine-domain-com._domainkey.dein-mandantenname.onmicrosoft.com |
Verwenden Sie stets die genauen Werte, die im Defender-Portal für Ihre spezifische Domäne und Ihren Mandanten angezeigt werden, und keine allgemeine Vorlage.
PowerDMARC generiert und validiert DKIM-Einträge für Office 365 automatisch, wodurch manuelle Fehler vermieden werden und von Anfang an eine korrekte Konfiguration gewährleistet ist. Nutzen Sie unseren kostenlosen DKIM-Eintrag-Prüftool , um Ihre Einträge sofort zu überprüfen.
Schritt 2: Erstellen Sie die CNAME-Einträge in Ihrem DNS
Melden Sie sich bei Ihrem Domain-Registrar oder DNS-Hosting-Anbieter an und erstellen Sie zwei neue CNAME-Einträge mit den Werten aus dem vorherigen Schritt.
Wichtige Punkte, die beim Hinzufügen der Datensätze zu beachten sind:
- Der Eintragstyp muss auf CNAME, nicht auf TXT oder einen anderen Typ
- Die Hostnamen müssen das vollständige Selektor-Präfix enthalten: selector1._domainkey und selector2._domainkey
- Überprüfen Sie die CNAME-Werte sorgfältig auf Tippfehler. Fehler beim Domain-Registrar sind die häufigste Ursache für Fehler bei der DKIM-Einrichtung
- Fügen Sie nicht mehrere widersprüchliche Einträge für denselben Hostnamen hinzu
Es kann bis zu 48 Stunden dauern, bis sich DNS-Änderungen weltweit durchgesetzt haben, obwohl dies oft viel schneller geschieht. Es kann einige Minuten bis zu einigen Stunden dauern, bis Microsoft 365 die neuen CNAME-Einträge erkennt.
Schritt 3: Aktivieren Sie die DKIM-Signatur im Microsoft Defender-Portal
Sobald Ihre CNAME-Einträge veröffentlicht und übernommen wurden, kehren Sie zur Registerkarte „DKIM“ im Microsoft Defender-Portal zurück:
- Wählen Sie Ihre eigene Domain aus
- Das Detail-Flyout öffnen
- Umschalten DKIM-Signaturen für Nachrichten dieser Domain aktivieren auf „Aktiviert“
Der Status der Domain auf der Registerkarte „DKIM“ muss gültige Werte anzeigen, damit die DKIM-Signierung aktiviert werden kann. Wenn das Portal Ihre CNAME-Einträge nicht erkennen kann, wird eine Fehlermeldung zusammen mit den erwarteten Werten angezeigt. Überprüfen Sie Ihre DNS-Einträge noch einmal auf ihre Richtigkeit, bevor Sie es erneut versuchen.
Nach der Aktivierung von DKIM kann es einige Zeit dauern, bis der Status aktualisiert wird und bestätigt, dass DKIM-Signaturen auf ausgehende Nachrichten angewendet werden.
Schritt 4: Überprüfen Sie, ob DKIM funktioniert
Um zu überprüfen, ob die DKIM-Signatur aktiv ist, senden Sie eine Test-E-Mail von Ihrer benutzerdefinierten Domain an eine Gmail-Adresse und sehen Sie sich den Kopf der Nachricht an:
- Öffne die empfangene E-Mail in Gmail
- Klicken Sie auf das Drei-Punkte-Menü und wählen Sie „Original anzeigen“
- Achten Sie auf die DKIM-Signature im Roh-Header der Nachricht
- Vergewissern Sie sich, dass die DKIM-Signatur vorhanden ist und dass der Wert „d=“ mit Ihrer benutzerdefinierten Domain übereinstimmt
- Der Wert „s=“ im DKIM-Signature-Header gibt den derzeit verwendeten Selektor an
Sie können auch die DMARC-Überwachungstools nutzen, um die DKIM-Übereinstimmung aller Ihrer Absenderquellen in einem einzigen Dashboard zu überprüfen.
Ein positives DKIM-Ergebnis im Nachrichtenkopf bestätigt, dass die DKIM-Signierung für Ihre benutzerdefinierte Domain aktiv ist und ordnungsgemäß funktioniert.
| Benötigen Sie Hilfe bei der Fehlerbehebung für DKIM? Unsere E-Mail-Sicherheitsexperten bei PowerDMARC können Ihnen helfen, Probleme bei der DKIM-Konfiguration schnell zu beheben. Starten Sie Ihre kostenlose Testversion und profitieren Sie von fachkundigem Support und automatisierter Überwachung. |
So konfigurieren Sie DKIM mit PowerShell
Exchange Online PowerShell bietet Befehlszeilentools, mit denen Sie die DKIM-Einrichtung automatisieren, die DKIM-Signierung für Ihre benutzerdefinierten Domänen aktivieren oder deaktivieren sowie Probleme beheben können. Dieser Ansatz ist besonders nützlich, wenn Sie mehrere Domänen oder komplexe Umgebungen verwalten.
So aktivieren Sie DKIM über PowerShell:
1. Verbinden Sie sich mit Exchange Online
2. Extrahieren Sie Ihre Office 365 DKIM-Selektoren, indem Sie das folgende Skript ausführen:
3. Fügen Sie die CNAME-Einträge, die Sie von Office 365 erhalten haben, zu Ihrem DNS hinzu
4. Führen Sie den folgenden Befehl aus, um DKIM für die Domäne zu aktivieren:
Gängige PowerShell-Befehle zur Fehlerbehebung
- DKIM-Status prüfen: Get-DkimSigningConfig -Identity „yourdomain.com“
- DKIM deaktivieren: Set-DkimSigningConfig -Identity „yourdomain.com“ -Enabled $false
- Bulk enable for multiple domains: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $true}
- DKIM-Selektoren anzeigen: Get-DkimSigningConfig | Select Identity,Selector1CNAME,Selector2CNAME
So überprüfen Sie den Status des DKIM-Eintrags in Office 365
Nachdem Sie DKIM eingerichtet haben, überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert. Hier finden Sie verschiedene Methoden, um den Status Ihres DKIM-Eintrags zu überprüfen:
Methode 1: Microsoft Defender-Portal
- Rufen Sie das Microsoft Defender-Portal auf
- Gehen Sie zu „E-Mail & Zusammenarbeit“ > „Richtlinien & Regeln“ > „Bedrohungsrichtlinien“ > „DKIM“
- Überprüfen Sie die Status-Spalte für Ihre Domain – dort sollte „Aktiviert“ mit grünen Häkchen angezeigt werden
Methode 2: Online-DKIM-Prüfprogramme
Nutzen Sie das kostenlose Tool zur DKIM-Eintragssuche , um Ihre DKIM-Einträge sofort zu überprüfen. Geben Sie Ihre Domain und den Selektor (selector1 oder selector2) ein, um die korrekte Veröffentlichung und Gültigkeit zu bestätigen.
Methode 3: Analyse der E-Mail-Kopfzeilen
Senden Sie eine Test-E-Mail und überprüfen Sie die Kopfzeilen:
- Suchen Sie in den E-Mail-Headern nach „DKIM-Signature:“
- Überprüfen Sie, ob der Parameter „d=” mit Ihrer Domain übereinstimmt
- Überprüfen Sie, ob unter „Authentication-Results:“ der Wert „dkim=pass“ angezeigt wird
Häufige Probleme bei der DKIM-Validierung
- Verzögerungen bei der DNS-Verbreitung: Warten Sie 24 bis 48 Stunden, bis die weltweite Übertragung abgeschlossen ist
- Falsche CNAME-Werte: Überprüfen Sie die genauen Werte im Microsoft Defender-Portal noch einmal
- Mehrere DNS-Einträge: Stellen Sie sicher, dass keine widersprüchlichen DKIM-Einträge vorhanden sind
- TTL-Einstellungen: Niedrigere TTL-Werte beschleunigen die Weiterleitung während des Tests
Einschränkungen bei der DKIM-Einrichtung und häufige Probleme
DKIM ist eine leistungsstarke E-Mail-Authentifizierungsprotokoll , das jedoch mit technischen Einschränkungen verbunden ist, die man vor und während der Implementierung unbedingt kennen sollte.
Wenn Sie diese Einschränkungen von vornherein kennen, können Sie häufige Fallstricke vermeiden, Ihre Konfiguration richtig planen und realistische Erwartungen daran stellen, wovor DKIM allein schützen kann und wovor nicht.
| Überlegung | Was Sie wissen müssen |
|---|---|
| Schlüssellänge | Microsoft 365 verwendet standardmäßig 2048-Bit-Verschlüsselungsschlüssel, die einen hohen Schutz für ausgehende Nachrichten bieten |
| DNS-Verbreitung | Nach der Veröffentlichung Ihrer CNAME-Einträge kann es bis zu 48 Stunden dauern, bis die DNS-Änderungen weltweit wirksam werden, auch wenn dies oft viel schneller geschieht |
| DKIM-Schlüsselrotation | Wechseln Sie die DKIM-Schlüssel alle ein bis zwei Jahre, um eine hohe E-Mail-Sicherheit zu gewährleisten und das Risiko zu verringern, dass alte Schlüssel missbraucht werden |
| Mehrere Domains | Jede benutzerdefinierte Domain, die zum Versenden von E-Mails verwendet wird, erfordert eine eigene DKIM-Konfiguration. DKIM wird nicht automatisch von einer Root-Domain auf deren Subdomains übertragen. |
| Nicht genutzte Domains | Veröffentlichen Sie keine DKIM-Einträge für Domains, die niemals E-Mails versenden. Andernfalls könnte eine DKIM-Validierung gefälschter Nachrichten erfolgen, die von diesen Domains versendet werden. |
Checkliste für häufige Fehler bei der DKIM-Einrichtung
✓ Überprüfen Sie, ob die Syntax des CNAME-Eintrags genau der im Microsoft Defender-Portal angezeigten entspricht
✓ Achten Sie darauf, dass die Namen der Selektoren keine Tippfehler enthalten (selector1._domainkey, selector2._domainkey)
✓ Überprüfen Sie, ob der DNS-Eintragstyp auf „CNAME“ und nicht auf „TXT“ eingestellt ist
✓ Vergewissern Sie sich, dass die Domain in Microsoft 365 verifiziert ist, bevor Sie DKIM aktivieren
✓ Warten Sie die DNS-Verbreitung ab (bis zu 48 Stunden), bevor Sie mit der Fehlerbehebung beginnen
✓ Entfernen Sie alle widersprüchlichen oder doppelten DKIM-Einträge
Einschränkungen von DKIM
Zu verstehen, wo DKIM an seine Grenzen stößt, ist genauso wichtig wie zu wissen, was es leistet. Genau diese Einschränkungen sind der Grund, warum DKIM immer zusammen mit SPF und DMARC eingesetzt werden sollte, anstatt als eigenständige Lösung betrachtet zu werden.
E-Mail-Weiterleitung
DKIM-Signaturen können bei der Weiterleitung von E-Mails beschädigt werden. Wenn eine Nachricht weitergeleitet wird, ändern manche Mailserver den Kopf oder den Text der Nachricht in einer Weise, die die ursprüngliche DKIM-Signatur ungültig macht.
Dies ist einer der Hauptgründe, warum DMARC eine Abstimmung zwischen SPF und DKIM erfordert, anstatt sich allein auf eines der beiden Verfahren zu verlassen.
Nachrichtenbearbeitung
Jede Änderung am E-Mail-Inhalt nach der Signierung führt zur Ungültigkeit der DKIM-Signatur. Dies umfasst auch Änderungen durch Mailinglisten, E-Mail-Gateways oder Tools zur Inhaltsfilterung, die den Nachrichtentext oder bestimmte Kopfzeilenfelder vor der Zustellung verändern.
Versanddienste von Drittanbietern
Externe E-Mail-Dienste, die in Ihrem Namen E-Mails versenden, wie beispielsweise Marketingplattformen, CRM-Systeme und Helpdesk-Tools, erfordern möglicherweise zusätzliche DKIM-Konfigurationerfordern.
In der Regel muss jeder externe Absender ausgehende Nachrichten entweder mit Ihrer Domain oder mit seiner eigenen signieren, und dies muss in Ihrer allgemeinen E-Mail-Authentifizierungskonfiguration überprüft und berücksichtigt werden.
Hybride Umgebungen
Unternehmen, die in einer Hybridumgebung sowohl lokal installiertes Exchange als auch Microsoft 365 nutzen, müssen bei der Konfiguration der DKIM-Signatur möglicherweise besondere Aspekte berücksichtigen.
Nachrichten, die über lokale Server weitergeleitet werden, bevor sie Microsoft 365 erreichen, können sich anders verhalten als beim reinen Cloud-Versand. Daher sollte die DKIM-Konfiguration den gesamten Nachrichtenfluss berücksichtigen, bevor die Signierung aktiviert wird.
Richten Sie DKIM für Office 365 richtig mit PowerDMARC ein!
Warum PowerDMARC?
„PowerDMARC hat die Implementierung von DKIM für uns zum Kinderspiel gemacht und uns durch die automatisierte Überwachung Sicherheit gegeben.“ – IT-Manager, FinTech-Unternehmen
|
Lösung: Wechseln Sie zu PowerDMARC
Die Aktivierung der DKIM-Signatur für Ihre benutzerdefinierte Microsoft 365-Domain ist ein entscheidender Schritt zur Sicherung Ihrer E-Mails. DKIM allein deckt jedoch nur einen Teil des Gesamtbildes ab.
Ohne DMARC, das die Übereinstimmung sicherstellt und Einblick in Ihren E-Mail-Verkehr gewährt, bleibt Ihre Domain anfällig für Spoofing und Identitätsbetrug, die DKIM allein nicht verhindern kann.
Mit PowerDMARC ist der Umstieg von DKIM zur vollständigen DMARC-Durchsetzung Durchsetzung. Mit gehostetem DMARC, automatisierter Berichterstellung und einer Plattform, die darauf ausgelegt ist, jede Phase der E-Mail-Authentifizierung zu vereinfachen, bietet Ihnen PowerDMARC vollständige Transparenz darüber, wer in Ihrem Namen E-Mails versendet, sowie die Tools, um Ihre Domain dauerhaft zu sichern.
| Manueller Ansatz | PowerDMARC | |
|---|---|---|
| Verwaltung mehrerer Domänen | Nein | Ja |
| Rollenbasierter Zugriff | Nein | Ja |
| Automatisierte Überwachung | Nein | Ja |
| Weltweiter Support rund um die Uhr | Begrenzt | Ja |
| Marktplatz/API-Einführung | Nein | Ja |
Nehmen Sie an einem kostenlosen DMARC-Testversion und überzeugen Sie sich noch heute von den Vorteilen.
FAQs
1. Wie stelle ich sicher, dass DKIM für alle Exchange Online-Domänen aktiviert ist?
Um sicherzustellen, dass DKIM für alle Ihre Exchange Online-Domänen aktiviert ist, überprüfen Sie im Microsoft Defender-Portal unter E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > DKIM. Überprüfen Sie, ob DKIM für jede benutzerdefinierte Domäne aktiviert ist.
2. Wie rotiert man DKIM-Schlüssel in Office 365?
Um DKIM-Schlüssel in Office 365 zu rotieren, müssen Sie neue CNAME-Einträge für die neuen Schlüssel in Ihrem DNS generieren und anschließend die DKIM-Signierung für diese neuen Schlüssel im Microsoft Defender-Portal aktivieren. Dieser Vorgang trägt zur Verbesserung der Sicherheit bei, indem die kryptografischen Schlüssel, mit denen Ihre E-Mails signiert werden, regelmäßig aktualisiert werden.
3. Wie oft sollten DKIM-Schlüssel ausgetauscht werden?
Es wird empfohlen, Ihre DKIM-Schlüssel alle 1 bis 2 Jahre zu erneuern, oder früher, wenn Sie den Verdacht haben, dass Ihre Schlüssel kompromittiert worden sind. Die regelmäßige Erneuerung trägt zur Aufrechterhaltung einer hohen E-Mail-Sicherheit bei und verhindert, dass Angreifer alte Schlüssel ausnutzen.
4. Welche Schlüssellänge wird für DKIM-Einträge empfohlen?
Microsoft Office 365 verwendet standardmäßig 2048-Bit-DKIM-Schlüssel, die ein hohes Maß an Sicherheit bieten und als aktueller Industriestandard gelten. Diese Schlüssellänge bietet hervorragenden Schutz vor kryptografischen Angriffen und gewährleistet gleichzeitig eine gute Leistung.
5. Wie arbeiten SPF, DKIM und DMARC zusammen, um E-Mails zu schützen?
SPF autorisiert Absenderserver, DKIM überprüft die Integrität von Nachrichten durch digitale Signaturen, und DMARC sorgt für die Durchsetzung von Richtlinien, indem es die Ergebnisse von SPF und DKIM kombiniert. Zusammen bilden sie ein umfassendes Rahmenwerk zur E-Mail-Authentifizierung, das vor Spoofing und Phishing schützt und sicherstellt, dass legitime E-Mails ihre vorgesehenen Empfänger erreichen.
6. Was soll ich tun, wenn in meinen ausgehenden E-Mails keine DKIM-Signaturen angezeigt werden?
Falls in Ihren ausgehenden E-Mails keine DKIM-Signaturen angezeigt werden, überprüfen Sie bitte, ob DKIM in Ihrem Versanddienst aktiviert ist und ob der richtige öffentliche DKIM-Schlüssel in Ihrem DNS veröffentlicht ist. Vergewissern Sie sich außerdem, dass der Selektor übereinstimmt und dass die DNS-Änderungen vollständig übernommen wurden. Sollte das Problem weiterhin bestehen, überprüfen Sie bitte die Einstellungen Ihres E-Mail-Servers oder wenden Sie sich an Ihren E-Mail-Anbieter.
7. Warum wird mein DKIM-Eintrag in Office 365 nicht validiert?
Häufige Ursachen sind Verzögerungen bei der DNS-Übertragung, falsche CNAME-Werte, Tippfehler in den Selektornamen oder widersprüchliche DNS-Einträge. Warten Sie 24 bis 48 Stunden, bis die Übertragung abgeschlossen ist, überprüfen Sie die genauen CNAME-Werte im Microsoft Defender-Portal und stellen Sie sicher, dass keine doppelten Einträge vorhanden sind.
8. Kann ich DKIM in Office 365 ohne SPF oder DMARC verwenden?
DKIM kann zwar eigenständig funktionieren, dies ist jedoch nicht empfehlenswert. DKIM allein kann Domain-Spoofing nicht wirksam verhindern. Für eine umfassende E-Mail-Authentifizierung und -Sicherheit müssen alle drei Protokolle (SPF, DKIM und DMARC) zusammenwirken.
9. Wie aktualisiere ich DKIM-Schlüssel für mehrere Domänen in Office 365?
Use PowerShell for bulk operations: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $false; Set-DkimSigningConfig -Identity $_.Name -Enabled $true}. This disables and re-enables DKIM for all domains, forcing key regeneration.
- NIST SP 800-81r3: DNS-Sicherheitsrichtlinien für E-Mails – 25. Juni 2026
- So teilen Sie einen DKIM-Eintrag – 5. Juni 2026
- compauth=fail: Microsoft Composite Authentication erklärt – 1. Juni 2026
