Cloudboom.de

News und Lösungen rund um Cloud und IT

Exchange OnlineOffice 365

DKIM Authentifizierung in Office 365 Exchange Online

Kevin Trapp

DKIM (DomainKeys Identified Mail) ist neben SPF eine gängige Möglichkeit der E-Mail-Authentifizierung. Dabei wir der E-Mail eine DKIM-Signatur hinzugefügt, welche allen ausgehenden E-Mails angehängt wird und über die entsprechenden DNS-Einträge überprüft wird. Genauer gesagt wird die Signatur im Header untergebracht, der empfangende Server fragt am DNS den öffentlichen Schlüssel (Public Key) ab. Mit diesem Schlüssel wird nun die Echtheit der Signatur überprüft.

Somit wird das Fälschen von E-Mails noch einmal schwerer, es empfiehlt sich DKIM (sofern unterstützt von anderen Mailserver) immer in Kombination mit SPF einzusetzen.

Office 365 unterstützt DKIM und ist für einzelne E-Mails auch „von Haus aus aktiviert“. Lediglich eine „domainweite“ DKIM Signatur muss noch manuell eingerichtet werden. Wie das funktioniert möchte ich euch in folgenden Schritten erklären.

1. DKIM Einstellungen öffnen

Meldet euch zuerst in eurem Office 365 Administrator Account an. Anschließend wechselt über das Admin Center direkt in das Exchange Admin Center (EAC). Hier findet Ihr nun unter dem Tab „Schutz“ als letzten Reiter den Punkt „dkim“. 

2. DKIM Übersicht

Die DKIM Einstellungen sind recht übersichtlich gehalten. Ihr könnt in dieser Übersicht für alle hinzugefügten Domains DKIM separiert einrichten und nutzen. 

3. DNS-Einstellungen abrufen

Damit wir DKIM einrichten können benötigen wir zu aller erst die entsprechenden CNAME-Einträge, denn bei Office 365 läuft die Einrichtung ein wenig „anderster“ als bei gewöhnlichen Mail-Servern. Sobald Sie auf aktivieren klicken, erhalten Sie eine Fehlermeldung. Hier erscheinen Ihnen beide CNAME Einträge welche hinterlegt werden müssen in Ihrem DNS-Server. Sobald Sie diese hinterlegt haben, können Sie nochmal auf aktivieren klicken. Beachten Sie hierbei bitte, dass DNS-Einstellungen eine gewisse Zeit benötigen, ehe sie global bekannt sind. Man spricht in der Regel von 24 Stunden, erfahrungsgemäß kann es aber auch wesentlich schneller gehen.

4. DNS-Einstellungen anpassen

Die DNS-Einstellungen müssen nun in dem DNS-Server von Ihrem Domain Provider (oder externen DNS-Server, falls benutzt) hinterlegt werden. Dabei können Sie bei Fragen sich natürlich immer an Ihren Hoster wenden, diese wissen in der Regel immer zu helfen. In meinem Fall von Alfahosting / AlfaDNS, musste der Eintrag wie in dem Screenshot zu sehen angelegt werden. In der Regel funktioniert das bei euren Providern über fast den gleichen Weg.

5. DKIM-Signatur testen!

Eine falsche DKIM-Einstellung kann natürlich genau das Gegenteil bewirken – man wird von Spamfiltern abgewiesen oder als SPAM markiert (bei „anständig“ konfigurierten sehr wahrscheinlich). Des Wegen gilt es immer seine Arbeit doppelt und am besten dreifach zu kontrollieren. Ich benutze dazu den kostenfreien Mail-Analyzer von mail-tester.com. Sendet dazu einfach eine E-Mail an die angegebene Adresse.

6. Auswertung...

Sobald die E-Mail angekommen ist, werdet Ihr zum Ergebnis weitergeleitet. Hier seht Ihr aber nicht nur die gewünschten Details, sondern auch viele andere nützliche Infos, von SPF-Analyse, bis zu Blacklists, über eine Inhaltsbewertung. Öffnen nun den Punkt „SpamAssasin…“. Hier findet Ihr 3 relevante Aussagen. Punkt 1 und 2 sind dabei normal. Durch unsere Konfiguration ist jedoch Punkt 3 das Ergebnis. Es hat funktioniert! 

7. Und das Fazit...

DKIM alleine macht eine E-Mail nicht authentisch. Dazu zählen viele weitere Faktoren, welche häufig außer Acht gelassen werden. Dennoch ist es ein Faktor, welcher spielend leicht mit wenig Zeitaufwand konfiguriert werden kann. Zu den Faktoren gehören z. B. Länge, Thema und Komplexität des Inhaltes, DKIM, SPF, Blacklists, tote Links, HTML oder Plain?, gekürzte URL’s, Unsubscribe Header, DMARC und und und…

Daher mein Fazit: Richtet es einfach ein, es gibt nichts zu verlieren, sondern nur zu gewinnen!