DKIM Signatur in M365 aktivieren und DNS-Einträge erstellen
DKIM in M365 aktivieren
DKIM ist eine relativ sichere Methode zur Identitätsprüfung von E-Mails. Dazu wird vereinfacht gesagt einer E-Mail eine Signatur angehängt welche mit einem Public Key geprüft wird. Dieser Public Key wird mittels eines DNS-Eintrages zugänglich gemacht (entweder per TXT direkt oder per CNAME-Verweis). Somit kann man relativ sicher davon ausgehen, dass eine Nachricht nicht von deinem dritten Server stammt, denn dazu müsste zusätzlich der DNS-Server kompromittiert sein, was sowieso ein Super-GAU wäre.
In M365 bzw. Exchange Online (+ on-premise) ist das natürlich auch möglich, ebenso wie bei einfachen IMAP-Postfächern in Plesk und anderen Mail-Diensten.
1. DKIM-Schlüssel für DNS erzeugen
Zuerst muss im Microsoft 365 Defender Dashboard für die jeweilige Domain unter Richtlinien der Schlüssel / die Schlüssel erzeugt werden. Der Link zu der entsprechenden Stelle lautet: https://security.microsoft.com/dkimv2
Hier wählt ihr einfach nur eure Domain aus, und klickt auf den Button „DKIM-Schlüssel erstellen“.
Anschließend erhält man ein PopUp welches man sich am besten in ein Word oder Notepad kopiert…hier sind die für DNS benötigten Einträge enthalten.
2. DKIM Public Key in DNS-Server hinterlegen
Nun muss der Public Key öffentlich zugänglich gemacht werden (hat so ein Public Key an sich :-P). Dazu öffnet ihre die DNS-Einstellungen eurer Domain. Je nach dem bei welchem Provider man ist kann der Weg abweichen, aber am Ende müssen immer 2 neue CNAME-Einträge existieren.
Meine Domain benutzt in diesem Beispiel die DNS-Server von Cloudflare, daher werden auch hier die eigentlichen DNS-Einträge gemacht. Bei dem Provider wird lediglich auf die Nameserver verwiesen.
Der Typ der Einträge muss / sollte immer CNAME sein. Man kann auch den Key direkt als TXT im DNS hinterlegen, aber MS gibt hier den Weg als CNAME-Verweis auf den Server vor, was mir auch richtiger erscheint.
Der Host / Name (je nach Bezeichung) ist dabei anzugeben und natürlich das Ziel auf das verwiesen wird. Bei Cloudflare schalte ich hier vorsichtshalber immer auf DNS-only, da ich hier mit M365 und Proxy schon Probleme hatte.
Prüft auf jeden Fall doppelt, dass die passenden Einträge hinterlegt sind.
3. DKIM aktivieren in Microsoft 365 Dashboard
Nun müssen wir wieder in das Dashboard wechseln. Bitte beachtet unbedingt, dass es einfach dauern kann bis die DNS-Einträge auch wirklich allen DNS bekannt sind, meistens innerhalb von 10 – 30 Minuten, aber das kann je nach Domain / DNS auch schon mal dauern…
Mittels verschiedenen Tools (z. B. mxtoolbox) kann man hier die Werte schon abfragen und prüfen. Sollte die untenstehende Fehlermeldung erscheinen, sind die CNAME-Einträge entweder noch nicht dem MS-DNS bekannt oder sie sind falsch…
Passen die DNS-Einträge erhaltet ihr im Dashboard eine Bestätigung, dass DKIM aktiviert wird, trotzdem sollte man hier auch nochmal den Versand wirklich prüfen.
4. Testen von DKIM
Nach ein paar Minuten sollte die DKIM Signierung aktiv sein für die ausgehenden E-Mails der Domain. Gut finde ich, dass MS vor der Prüfung erstmal die DNS-Einträge überprüft bevor die Signierung scharf geschalten wird, das würde sonst in einem Desaster enden…
Ihr solltet dazu im Dashboard auch eine Meldung erhalten, dass die Nachrichten nun signiert werden.
Ich benutze für die Mail-Analyse unter anderem die Seite https://www.mail-tester.com/
Hier sendet man eine Testmail an eine generische Adresse (bitte keine wichtigen Daten mitschicken, ihr kennt den Betreiber und das Postfach nicht…). Die Seite gibt sehr detailiert die technischen Daten zu der E-Mail aus und überprüft auf SPF, MX, DMARC, etc.
Ein wirklich geniales Tool.
Natürlich kann man das auch per Hand vornehmen…bzw. wird es in eingen Mail-Clients auch angezeigt.
5. Fazit zu DKIM
Meiner Meinung nach eine wirklich gute und vor allem einfach einzurichtendene Methode zur Prüfung auf die Authentizität einer E-Mail. Allerdings ist mein Eindruck, dass diese Methode kaum verbreitet ist. Noch einfacher ist die Einrichtung wenn ein IMAP-Postfach von Plesk verwendet wird in Verbindung mit dem DNS von Plesk, genau ein Klick.
Seitens Microsoft wäre es wünschenswert wenn man das bei dem Default Setup der Domänen vllt. integrieren könnte (wie den SPF), dann wäre diese Methode sicherlich verbreiteter.