bookmark_borderHowto: DKIM in Microsoft 365 aktivieren

DKIM (Domain Keys Identified Mail) sollte immer für alle Domains die zum E-Mail Versand genutzt werden aktiviert sein. Falls DKIM nicht eingerichtet ist, könnten Mails fälschlicherweise als Spam markiert werden. Das folgende Tutorial zeigt, wie man DKIM für Domains mit E-Mail Versand in Office365 / Microsoft 365 aktivieren kann.

Als erstes müssen wir eine Powershell Verbindung zu unserem M365 Tenant herstellen. Der letzte Absatz in diesem Artikel beschreibt diesen Schritt genauer.

Der folgende Befehl zeigt eine ausführliche Liste mit Informationen zu DKIM im Tenant an:

Get-DkimSigningConfig -Identity domain.com | Format-List

Falls wir uns nur den DKIM-Status anzeigen lassen wollen, reicht folgender Befehl:

Get-DkimSigningConfig
cmdlet Get-DkimSigningConfig

Das Beispiel zeigt, dass DKIM für die Tenant Domain aktiviert ist. Unsere Primärdomain ist jedoch nicht aktiviert. Bevor wir DKIM aktivieren können, müssen wir jedoch noch Einträge zur Verifikation im DNS hinterlegen.

Get-DkimSigningConfig -Identity domain.com | Format-List Selector1CNAME, Selector2CNAME
cmdlet Get-DkimSigningConfig

Die Einträge im DNS werden wie folgt gesetzt. Wir benötigen die Ausgabe hinter Selector1CNAME bzw. Selector2CNAME (Das Ziel im folgenden Beispiel muss durch die Ausgabe für Selector1 bzw. Selector2 ersetzt werden):

Host: selector1._domainkey
Ziel: selector1-domain-com._domainkey.youronmicrosoftdomain.onmicrosoft.com

Host: selector2._domainkey
Ziel: selector2-domain-com._domainkey.youronmicrosoftdomain.onmicrosoft.com

Nun müssen wir mindestens 10 – 15 Minuten warten, bis unsere DNS-Einträge sichtbar sind. In manchen Fällen kann dies auch länger dauern (bis zu 24 Stunden). Als nächster Schritt kann eine der drei folgenden Optionen gewählt werden:

Option 1: Via Powershell

Hierzu muss eine Powershell-Verbindung zum M365 Tenant hergestellt und folgender Befehl ausgeführt werden:

Set-DkimSigningConfig -Identity domain.com -Enabled $true

Option 2: Via Security Admin Center

  • In das M365 Admin Center einloggen (https://admin.microsoft.com)
  • Links auf Sicherheit klicken
  • Im Security Center auf Bedrohungsmanagement und dann auf Richtlinie klicken
  • DKIM auswählen
  • Die Sende-Domain auswählen
  • Den Slider von Deaktiviert auf Aktiviert ändern und speichern

Option 3: Via altem Exchange Admin Center

  • In das M365 Admin Center einloggen (https://admin.microsoft.com)
  • Links auf Exchange klicken
  • Im Exchange Admin Center das alte Exchange Admin Center öffnen
  • Dort auf Schutz -> dkim klicken
  • Die Sende-Domain doppelt anklicken und Aktivieren wählen

Falls es bei einem der Schritte zu einem Fehler kommt, ist sehr wahrscheinlich einer oder beide DNS-Einträge falsch bzw. noch nicht aktualisiert. Mit dem folgenden Linux-Befehl kann man die Einträge prüfen:

dig selector1._domainkey.domain.com
dig selector2._domainkey.domain.com

Die Ausgabe sollte die beiden CNAME-Einträge für Selector1/Selector2 liefern. Falls Windows verwendet wird, kann folgender Befehl genutzt werden:

nslookup -q=CNAME selector1._domainkey.domain.com
nslookup -q=CNAME selector2._domainkey.domain.com

Beide Selectoren müssen korrekt gesetzt sein, bevor Microsoft es uns erlaubt, DKIM für die Domain zu aktivieren. Falls die Einträge korrekt sind, kann es einfach noch ein wenig dauern. Nach 15 – 30 Minuten kann man dann erneut versuchen, DKIM über eine der drei obenstehenden Optionen zu aktivieren.