Verwenden von DKIM zum Überprüfen ausgehender E-Mails, die von Ihrer benutzerdefinierten Domäne gesendet werden

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Dieser Artikel führt die Schritte auf, um DomainKeys Identified Mail (DKIM) mit Microsoft 365 zu verwenden, um sicherzustellen, dass Ziel-E-Mail-Systeme Nachrichten vertrauen, die von Ihrer benutzerdefinierten Domäne aus gesendet werden.

Inhalt dieses Artikels:

Hinweis

Microsoft 365 richtet DKIM automatisch für die "onmicrosoft.com"-Anfangsdomänen ein. Das bedeutet, dass Sie keine weiteren Aktionen durchführen müssen, um DKIM für jegliche Anfangsdomänennamen einzurichten (z. B. litware.onmicrosoft.com). Weitere Informationen zu Domänen finden Sie unter Häufig gestellte Fragen (FAQ) zu Domänen.

DKIM ist eine der drei Authentifizierungsmethoden (SPF, DKIM und DMARC), die verhindern, dass Angreifer Nachrichten senden können, die aussehen, als ob sie von Ihrer Domäne stammen würden.

Mit DKIM können Sie ausgehenden E-Mail-Nachrichten in der Nachrichtenkopfzeile eine digitale Signatur hinzufügen. Wenn Sie DKIM konfigurieren, autorisieren Sie Ihre Domäne mithilfe der kryptografischen Authentifizierung, ihren Namen mit einer E-Mail-Nachricht zu verknüpfen oder sie zu signieren. E-Mail-Systeme, die E-Mails von Ihrer Domäne erhalten, können diese digitale Signatur verwenden, um zu verifizieren, ob die eingehende E-Mail legitim ist.

Einfach ausgedrückt verschlüsselt ein privater Schlüssel die Kopfzeile in ausgehenden E-Mails einer Domäne. Der öffentliche Schlüssel wird in den DNS-Einträgen der Domäne veröffentlicht, und empfangende Server können diesen Schlüssel verwenden, um die Signatur zu entschlüsseln. Die DKIM-Verifizierung hilft den empfangenden Servern zu bestätigen, dass die E-Mail wirklich von Ihrer Domäne kommt und nicht von jemandem, der Ihre Domäne spooft.

Tipp

Für DKIM für Ihre benutzerdefinierte Domäne müssen Sie ebenfalls nichts weiter unternehmen. Wenn Sie DKIM nicht für Ihre benutzerdefinierte Domäne einrichten, erstellt Microsoft 365 ein Paar aus privatem und öffentlichem Schlüssel, aktiviert die DKIM-Signierung und konfiguriert die Microsoft 365-Standardrichtlinie für Ihre benutzerdefinierte Domäne.

die integrierte DKIM-Konfiguration von Microsoft-365 ist für die meisten Kunden ausreichend abgedeckt. Sie sollten DKIM jedoch unter den folgenden Umständen manuell für Ihre benutzerdefinierte Domäne konfigurieren:

  • Sie haben mehr als eine benutzerdefinierte Domäne in Microsoft 365
  • Sie werden auch DMARC einrichten (empfohlen)
  • Sie möchten die Kontrolle über Ihren privaten Schlüssel.
  • Sie möchten Ihre CNAME-Einträge anpassen.
  • Sie möchten DKIM-Schlüssel für E-Mails von Drittanbieterdomänen einrichten, beispielsweise bei Verwendung eines Drittanbietermassenversenders von E-Mails.

So funktioniert DKIM besser als SPF, um Spoofing zu verhindern

SPF fügt Informationen zu einem Nachrichtenumschlag hinzu, aber DKIM verschlüsselt eine Signatur im Nachrichtenkopf. Wenn Sie eine Nachricht weiterleiten, können Teile dieses Nachrichtenumschlags vom Weiterleitungsserver entfernt werden. Da die digitale Signatur bei der E-Mail-Nachricht bleibt, da er Teil der E-Mail-Kopfzeile ist, funktioniert DKIM selbst dann, wenn eine Nachricht weitergeleitet wurde, wie im folgenden Beispiel gezeigt.

Diagramm, in dem eine weitergeleitete Nachricht gezeigt wird, bei der die DKIM-Authentifizierung übergangen wird, wenn die SPF-Prüfung fehlschlägt.

Wenn Sie in diesem Beispiel nur einen SPF TXT-Eintrag für Ihre Domäne veröffentlicht hätten, könnte der E-Mail-Server des Empfängers Ihre E-Mail als Spam markiert und ein falsch positives Ergebnis generiert haben. Durch das Hinzufügen von DKIM in diesem Szenario werden falsch positive Spammeldungen reduziert. Da DKIM die Verschlüsselung öffentlicher Schlüssel und nicht nur IP-Adressen zur Authentifizierung benötigt, wird DKIM als deutlich stärkere Form der Authentifizierung als SPF betrachtet. Wir empfehlen, SPF und DKIM sowie DMARC in Ihrer Bereitstellung zu verwenden.

Tipp

DKIM verwendet einen privaten Schlüssel, um eine verschlüsselte Signatur in den Nachrichtenkopf einzufügen. Die signierende (ausgehende) Domäne wird als Wert des Felds d= in die Kopfzeile eingefügt. Die überprüfende Domäne (Empfängerdomäne) verwendet dann das Feld d=, um den öffentlichen Schlüssel im DNS nachzuschlagen und die Nachricht zu authentifizieren. Wenn die Nachricht verifiziert wird, ist die DKIM-Überprüfung erfolgreich.

Schritte zum Erstellen, Aktivieren und Deaktivieren von DKIM über das Microsoft 365 Defender-Portal

Alle akzeptierten Domänen Ihres Mandanten werden im Microsoft 365 Defender-Portal auf der DKIM-Seite angezeigt. Wenn sie nicht angezeigt wird, fügen Sie Ihre akzeptierte Domäne von Domänenseite hinzu. Führen Sie nach dem Hinzufügen Ihrer Domäne die unten aufgeführten Schritte aus, um DKIM zu konfigurieren.

Schritt 1: Klicken Sie auf die Domäne, die Sie DKIM auf der DKIM-Seite konfigurieren möchten (https://security.microsoft.com/dkimv2 oder https://protection.office.com/dkimv2).

Die DKIM-Seite im Microsoft 365 Defender-Portal mit einer ausgewählten Domäne

Schritt 2: Schieben Sie die Umschaltfläche auf Aktivieren. Sie werden ein Popupfenster sehen, das darauf hinweist, dass Sie CNAME-Einträge hinzufügen müssen.

Das Domänendetails-Flyout mit der Schaltfläche „DKIM-Schlüssel erstellen“

Schritt 3: Kopieren Sie die CNAMES, die im Popupfenster angezeigt werden

Das Popupfenster

Schritt 4: Veröffentlichen Sie die kopierten CNAME-Einträge bei Ihrem DNS-Dienstanbieter.

Fügen Sie auf der Website Ihres DNS-Anbieters CNAME-Einträge für DKIM hinzu, die Sie aktivieren möchten. Stellen Sie sicher, dass jedes der Felder auf die jeweiligen folgenden Werte festgelegt ist:

Record Type: CNAME (Alias)
> Host: Paste the values you copy from DKIM page.
Points to address: Copy the value from DKIM page.
TTL: 3600 (or your provider default)

Schritt 5: Kehren Sie zur DKIM-Seite zurück, um DKIM zu aktivieren.

Die Umschaltfläche zum Aktivieren von DKIM

Wenn Ihnen den Fehler „CNAME-Eintrag nicht vorhanden“ angezeigt wird, kann dies folgende Ursachen haben:

  1. Die Synchronisierung mit dem DNS-Server, die einige Sekunden bis Stunden dauern kann, wenn das Problem weiterhin besteht, wiederholen Sie die Schritte noch mal
  2. Suchen Sie nach Fehlern beim Kopieren und Einfügen, wie zusätzlichem Leerzeichen oder Tabs usw.

Wenn Sie DKIM deaktivieren möchten, schalten Sie zurück in den Deaktivierungsmodus

Schritte zum manuellen Upgrade Ihrer 1024-Bit-Schlüssel auf 2048-Bit-DKIM-Verschlüsselungsschlüssel

Hinweis

Microsoft 365 richtet DKIM automatisch für die onmicrosoft.com-Domänen ein. Es sind keine Schritte erforderlich, um DKIM für anfängliche Domänennamen zu verwenden (wie z. B. litware.onmicrosoft.com). Weitere Informationen zu Domänen finden Sie unter Häufig gestellte Fragen (FAQ) zu Domänen.

Da sowohl 1024-Bit als auch 2048-Bit für DKIM-Schlüssel unterstützt werden, erfahren Sie in diesen Anweisungen, wie Sie Ihren 1024-Bit-Schlüssel inExchange Online PowerShell auf 2048 aktualisieren. Die nachstehenden Schritte werden auf zwei Anwendungsfälle angewandt. Wählen Sie bitte die Variante aus, die Ihren Anforderungen am ehesten entspricht.

  • Wenn Sie DKIM bereits konfiguriert haben, ändern Sie die Biteinstellung, indem Sie den folgenden Befehl ausführen:

    Rotate-DkimSigningConfig -KeySize 2048 -Identity <DkimSigningConfigIdParameter>
    

    oder

  • Führen Sie den folgenden Befehl aus, um eine neue Implementierung von DKIMzu erstellen:

    New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true
    

Bleiben Sie mit Exchange Online PowerShell verbunden, um zu überprüfen, ob die Konfiguration durch Ausführung des folgenden Befehls ausgeführt werden konnte:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Tipp

Dieser neue 2048-Bit-Schlüssel wird zum RotateOnDate wirksam und sendet E-Mails in der Zwischenzeit mit dem 1024-Bit-Schlüssel. Nach vier Tagen können Sie einen erneuten Test mit dem 2048-Bit-Schlüssel ausführen (also, wenn der Wechsel auf den zweiten Selektor angewendet wird).

Wenn Sie zum zweiten Selektor wechseln möchten, ändern Sie nach 4 Tagen den zweiten Selektorschlüssel manuell unter Verwendung des entsprechenden, oben aufgeführten Cmdlets, nachdem Sie zuvor sichergestellt haben, dass 2048-Bit-Schlüssel verwendet werden.

Ausführliche Informationen zur Syntax und zu Parametern finden Sie in den folgenden Artikeln: Rotate-DkimSigningConfig, New-DkimSigningConfigund Get-DkimSigningConfig.

Schritte zum manuellen Einrichten von DKIM

Um DKIM zu konfigurieren, müssen Sie diese Schritte ausführen:

Veröffentlichen von zwei CNAME-Einträgen für Ihre benutzerdefinierte Domäne in DNS

Für jede Domäne, für die Sie eine DKIM-Signatur in DNS hinzufügen möchten, müssen Sie zwei CNAME-Einträge veröffentlichen.

Hinweis

Wenn Sie nicht den gesamten Artikel gelesen haben, haben Sie möglicherweise diese zeitsparenden Informationen zur PowerShell-Verbindung verpasst: Herstellen einer Verbindung zu Exchange Online PowerShell.

Führen Sie in Exchange Online PowerShell die folgenden Befehle aus, um die Selektoreinträge zu erstellen:

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Wenn Sie neben der ersten Domäne zusätzliche benutzerdefinierte Domänen in Microsoft 365 bereitgestellt haben, müssen Sie zwei CNAME-Einträge für jede zusätzliche Domäne veröffentlichen. Wenn Sie also zwei Domänen haben, müssen Sie zwei zusätzliche CNAME-Einträge veröffentlichen usw.

Verwenden Sie für CNAME-Einträge das folgende Format.

Wichtig

Wenn Sie zu unseren GCC High-Kunden gehören, berechnen wir customDomainIdentifier anders! Anstatt den MX-Eintrag für Ihre initialDomain zur Berechnung von customDomainIdentifier heranzuziehen, wird dieser direkt anhand der angepassten Domäne berechnet. Wenn Ihre benutzerdefinierte Domäne z. B. "contoso.com" lautet, wird Ihr customDomainIdentifier "contoso-com" sein, wobei alle Punkte durch Bindestriche ersetzt werden. Unabhängig von dem MX-Eintrag, auf den Ihre initialDomain verweist, werden Sie also immer die oben genannte Methode verwenden, um den in den CNAME-Einträgen verwendeten customDomainIdentifier zu berechnen.

Host name:            selector1._domainkey
Points to address or value:    selector1-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<customDomainIdentifier>._domainkey.<initialDomain>
TTL:                3600

Dabei gilt:

  • Für Microsoft 365 sind die Selektoren immer „selector1“ oder „selector2“.

  • customDomainIdentifier ist identisch mit customDomainIdentifier im angepassten MX-Eintrag für Ihre benutzerdefinierte Domäne, der vor "mail.protection.outlook.com" angezeigt wird. Im folgenden MX-Eintrag für die Domäne "contoso.com" ist der customDomainIdentifier z. B. "contoso-com":

    contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain ist die Domäne, die Sie bei der Anmeldung für Microsoft 365 verwendet haben. Anfangsdomänen enden immer auf "onmicrosoft.com". Informationen zum Ermitteln Ihrer ersten Domäne finden Sie unter Häufig gestellte Fragen zu Domänen.

Wenn Sie beispielsweise als erste Domäne „cohovineyardandwinery.onmicrosoft.com“ und zwei benutzerdefinierte Domänen „cohovineyard.com“ und „cohowinery.com“ haben, müssten Sie zwei CNAME-Einträge für jede zusätzliche Domäne einrichten, also insgesamt vier CNAME-Einträge.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Hinweis

Es ist wichtig, den zweiten Eintrag zu erstellen, aber zum Zeitpunkt der Erstellung wird möglicherweise nur einer der Selektoren verfügbar sein. Im Wesentlichen verweist der zweite Selektor möglicherweise auf eine noch nicht erstellte Adresse. Es empfiehlt sich trotzdem, den zweiten CNAME-Eintrag zu erstellen, da Ihre Schlüsselrotation dann nahtlos ausgeführt wird.

Schritte zum Aktivieren der DKIM-Signatur für Ihre benutzerdefinierte Domäne

Nachdem Sie die CNAME-Einträge im DNS veröffentlicht haben, können Sie die DKIM-Signierung über Microsoft 365 aktivieren. Sie können dies über das Microsoft 365 Admin Center oder mithilfe von PowerShell durchführen.

So aktivieren Sie die DKIM-Signatur für Ihre benutzerdefinierte Domäne im Microsoft 365 Defender-Portal

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinienfür &die Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Email Authentifizierungseinstellungen im Abschnitt >RegelnDKIM. Um direkt zur DKIM-Seite zu wechseln, verwenden Sie https://security.microsoft.com/dkimv2.

  2. Wählen Sie auf der Seite DKIM die Domäne aus, indem Sie auf den Namen klicken.

  3. Ändern Sie im angezeigten Details-Flyout die Einstellung Sign messages for this domain with DKIM signatures (Sign messages for this domain with DKIM signatures ) in Enabled (Toggle on).)

    Klicken Sie nach Abschluss des Vorgangs auf DKIM-Schlüssel rotieren.

  4. Wiederholen Sie diesen Schritt für jede benutzerdefinierte Domäne.

  5. Wenn Sie DKIM zum ersten Mal konfigurieren und die Fehlermeldung "Keine DKIM-Schlüssel für diese Domäne gespeichert" angezeigt wird, müssen Sie mithilfe von Windows PowerShell die DKIM-Signierung aktivieren, wie im nächsten Schritt erläutert.

So aktivieren Sie die DKIM-Signierung für Ihre benutzerdefinierte Domäne mit PowerShell

Wichtig

Fehler " Wenn Sie DKIM zum ersten Mal konfigurieren und der Fehler "Keine DKIM-Schlüssel für diese Domäne gespeichert" angezeigt wird, führen Sie den Befehl in Schritt 2 unten (z. B. ) aus, Set-DkimSigningConfig -Identity contoso.com -Enabled $trueum den Schlüssel anzuzeigen.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Verwenden Sie die folgende Syntax:

    Set-DkimSigningConfig -Identity <Domain> -Enabled $true
    

    <Domäne> ist der Name der benutzerdefinierten Domäne, für die Sie die DKIM-Signatur aktivieren möchten.

    In diesem Beispiel wird die DKIM-Signierung für die Domäne „contoso.com“ aktiviert:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

So bestätigen Sie, dass die DKIM-Signierung ordnungsgemäß für Microsoft 365 konfiguriert ist

Warten Sie einige Minuten, bevor Sie diese Schritte ausführen, um zu bestätigen, dass Sie DKIM ordnungsgemäß konfiguriert haben. Dadurch ist genug Zeit vorhanden, um die DKIM-Informationen zur Domäne im gesamten Netzwerk zu verteilen.

  • Senden Sie eine Nachricht von einem Konto in Ihrer Microsoft 365-Domäne mit aktiviertem DKIM an ein anderes E-Mail-Konto wie „outlook.com“ oder „Hotmail.com“.

  • Verwenden Sie zu Testzwecken kein „aol.com"-Konto. AOL überspringt möglicherweise die DKIM-Überprüfung, wenn die SPF-Prüfung erfolgreich ist. Dadurch hat der Test keine Relevanz.

  • Öffnen Sie die Nachricht, und sehen Sie sich die Überschrift an. Anweisungen zum Anzeigen der Kopfzeile der Nachricht variieren je nach Messagingclient. Anweisungen zum Anzeigen von Nachrichtenkopfzeilen in Outlook finden Sie unter Anzeigen von Internetnachrichtenkopfzeilen in Outlook.

    Die mit DKIM signierte Nachricht enthält den Hostnamen und die Domäne, die Sie definiert haben, wenn Sie die CNAME-Einträge veröffentlicht haben. Die Nachricht sieht in etwa wie im folgenden Beispiel aus:

      From: Example User <example@contoso.com>
      DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
          s=selector1; d=contoso.com; t=1429912795;
          h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
          bh=<body hash>;
          b=<signed field>;
    
  • Suchen Sie nach der „Authentication-Results"-Kopfzeile. Obwohl jeder empfangende Dienst ein geringfügig anderes Format verwendet, um die eingehenden E-Mail-Nachrichten mit Zeitstempeln zu versehen, sollte das Ergebnis immer etwas wie DKIM=pass oder DKIM=OK enthalten.

Wichtig

Die DKIM-Signatur wird unter einer der folgenden Bedingungen weggelassen :

  • Die Absender- und Empfänger-E-Mail-Adressen befinden sich in derselben Domäne.
  • Die Absender- und Empfänger-E-Mail-Adressen befinden sich in verschiedenen Domänen, die von derselben Organisation gesteuert werden.

In beiden Fällen sieht der Header in etwa wie folgt aus:

  Authentication-Results: dkim=none (message not signed) header.d=none;
    dmarc=none action=none header.from=<sender_domain>;

Konfigurieren von DKIM für mehrere benutzerdefinierte Domänen

Wenn Sie zu einem bestimmten Zeitpunkt in der Zukunft eine weitere benutzerdefinierte Domäne hinzufügen und DKIM für die neue Domäne aktivieren möchten, müssen Sie die Schritte in diesem Artikel für jede Domäne ausführen. Schließen Sie insbesondere alle Schritte in Schritte zum manuellen Einrichten von DKIM ab.

Deaktivieren der DKIM-Signierungsrichtlinie für eine benutzerdefinierte Domäne

Durch das Deaktivieren der Signierungsrichtlinie wird DKIM nicht vollständig deaktiviert. Nach einer bestimmten Zeit wendet Microsoft 365 automatisch die Standardrichtlinie für Ihre Domäne an, wenn sie immer noch aktiviert ist. Wenn Sie DKIM vollständig deaktivieren möchten, müssen Sie es sowohl in der benutzerdefinierten als auch in der Standarddomäne deaktivieren. Weitere Informationen finden Sie unter Standardverhalten für DKIM und Microsoft 365.

So deaktivieren Sie die DKIM-Signierungsrichtlinie mithilfe von Windows PowerShell

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie einen der folgenden Befehle für jede Domäne aus, für die Sie die DKIM-Signierung deaktivieren möchten.

    $p = Get-DkimSigningConfig -Identity <Domain>
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Beispiel:

    $p = Get-DkimSigningConfig -Identity contoso.com
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    Oder

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
    

    Wobei number der Index der Richtlinie ist. Zum Beispiel:

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
    

Standardverhalten für DKIM und Microsoft 365

Wenn Sie DKIM nicht aktivieren, erstellt Microsoft 365 automatisch einen öffentlichen 2048-Bit-DKIM-Schlüssel für Ihre Microsoft Online-Email-Routingaddresse (MOERA)/ursprüngliche Domäne und den zugehörigen privaten Schlüssel, den wir intern in unserem Rechenzentrum speichern. Standardmäßig verwendet Microsoft 365 eine standardmäßige Signierkonfiguration für Domänen, die keine Richtlinie eingerichtet haben. Dies bedeutet, dass, wenn Sie DKIM nicht selbst einrichten, Microsoft 365 seine Standardrichtlinie und Standardschlüssel verwendet, die erstellt wurden, um DKIM für Ihre Domäne zu aktivieren.

Wenn Sie die DKIM-Signierung nach der Aktivierung wieder deaktivieren, wendet Microsoft 365 nach einer bestimmten Zeit automatisch die Richtlinie für Ihre ursprüngliche/MOERA-Domäne auf Ihre Domäne an.

Im folgenden Beispiel wird angenommen, dass DKIM für „fabrikam.com" durch Microsoft 365 und nicht durch den Administrator der Domäne aktiviert wurde. Das bedeutet, dass die erforderlichen CNAME-Einträge nicht in DNS vorhanden sind. DKIM-Signaturen für E-Mail-Nachrichten aus dieser Domäne sehen in etwa wie folgt aus:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

In diesem Beispiel enthalten der Hostname und die Domäne die Werte, auf die der CNAME-Eintrag verweisen würden, wenn die DKIM-Signierung für „fabrikam.com“ vom Domänenadministrator aktiviert worden wäre. Schließlich wird jede einzelne Nachricht, die von Microsoft 365 gesendet wird, mit DKIM signiert. Wenn Sie DKIM selbst aktivieren, ist die Domäne identisch mit der Domäne in der „From:“-Adresse, in diesem Fall „fabrikam.com“. Andernfalls erfolgt keine Ausrichtung. Stattdessen wird die erste Domäne Ihrer Organisation verwendet. Informationen zum Ermitteln Ihrer ersten Domäne finden Sie unter Häufig gestellte Fragen zu Domänen.

Einrichten von DKIM, damit ein Drittanbieterdienst E-Mails im Auftrag Ihrer benutzerdefinierten Domäne senden oder fälschen kann

Bei einigen Massen-E-Mail-Dienstanbietern oder Software-as-a-Service-Anbietern können Sie DKIM-Schlüssel für E-Mails einrichten, die von diesem Dienst stammen. Dies erfordert eine Koordination zwischen Ihnen und dem Drittanbieter, damit die erforderlichen DNS-Einträge eingerichtet werden können. Einige Server von Drittanbietern können eigene CNAME-Einträge mit unterschiedlichen Selektoren verwenden. Keine zwei Organisationen führen dies auf die gleiche Weise durch. Der Prozess hängt vollständig von der Organisation ab.

Eine Beispielnachricht mit einer ordnungsgemäßen DKIM-Konfiguration für contoso.com und bulkemailprovider.com kann wie folgt aussehen:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

In diesem Beispiel sind zu diesem Zweck die folgenden Schritte erforderlich:

  1. Der Massen-E-Mail-Anbieter hat einen öffentlichen DKIM-Schlüssel für Contoso bereitgestellt.

  2. Contoso hat den DKIM-Schlüssel für den DNS-Eintrag veröffentlicht.

  3. Beim Senden der E-Mail signiert der Massen-E-Mail-Anbieter den Schlüssel mit dem entsprechenden privaten Schlüssel. So hat der Massen-E-Mail-Anbieter die DKIM-Signatur an die Kopfzeile der Nachricht angefügt.

  4. Beim Empfangen von E-Mails führen Systeme eine DKIM-Überprüfung durch, indem der d=<Domäne>-Wert der DKIM-Signatur mit der Domäne im Feld „Von: (5322.From)" der Nachricht verglichen wird. In diesem Beispiel entsprechen die Werte den folgenden:

    sender@contoso.com

    d=contoso.com

Domänen identifizieren, die keine E-Mails senden

Organisationen sollten explizit angeben, ob eine Domäne keine E-Mails sendet, indem sie v=DKIM1; p= im DKIM-Eintrag für diese Domänen angeben. Dies weist empfangende E-Mail-Server darauf hin, dass es keine gültigen öffentlichen Schlüssel für die Domäne gibt. Jede E-Mail, die vorgibt, von dieser Domäne zu stammen, sollte abgelehnt werden. Sie sollten dies für jede Domäne und Subdomäne mit einem Wildcard-DKIM tun.

Der DKIM-Eintrag sieht beispielsweise wie folgt aus:

*._domainkey.SubDomainThatShouldntSendMail.contoso.com. TXT "v=DKIM1; p="

Nächste Schritte: Nach dem Einrichten von DKIM für Microsoft 365

Obwohl DKIM Spoofing verhindern soll, funktioniert DKIM besser mit SPF und DMARC.

Sobald Sie DKIM eingerichtet haben, sollten Sie auch SPF einrichten, falls noch nicht geschehen. Eine kurze Einführung in SPF und eine schnelle Konfiguration finden Sie unter Einrichten von SPF in Microsoft 365, um Spoofing zu verhindern. Ausführlichere Informationen zur Verwendung von SPF durch Microsoft 365 oder zur Problembehandlung oder zu nicht standardmäßigen Bereitstellungen, z. B. Hybridbereitstellungen, finden Sie unter How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing.

Lesen Sie danach Verwenden von DMARC zur Überprüfung von E-Mails. Antispam-Nachrichtenkopfzeilen umfassen die Syntax- und Kopfzeilenfelder, die von Microsoft 365 für DKIM-Überprüfungen verwendet werden.

Dieser Test überprüft, ob die DKIM-Signaturkonfiguration ordnungsgemäß konfiguriert wurde und ob die richtigen DNS-Einträge veröffentlicht wurden.

Hinweis

Für dieses Feature ist ein Microsoft 365-Administratorkonto erforderlich. Diese Funktion ist nicht verfügbar für Microsoft 365 Government, Microsoft 365, betrieben von 21Vianet oder Microsoft 365 Deutschland.

Weitere Informationen

Schlüsselrotation über PowerShell: Rotate-DkimSigningConfig

Verwenden von DMARC zum Überprüfen von E-Mails

Verwenden vertrauenswürdiger ARC-Absender für legitime Nachrichtenflüsse