Defaults.Exposed › Einrichtung › DKIM

DKIM bei Microsoft 365 einrichten

Veröffentlichen Sie zwei DKIM-Einträge in Ihrem DNS und schalten Sie DKIM in Microsoft 365 ein, damit Ihre E-Mails eine fälschungssichere Signatur tragen.

Warum das für Ihr Unternehmen zählt

DKIM (DomainKeys Identified Mail) versieht jede E-Mail, die Sie versenden, mit einer unsichtbaren digitalen Signatur. Der empfangende E-Mail-Anbieter prüft anhand eines öffentlichen Schlüssels, den Sie in Ihrem DNS hinterlegt haben, zwei Dinge: dass die Nachricht wirklich von Ihrer Domain stammt und dass sie unterwegs niemand verändert hat.

Im Klartext: DKIM ist ein Echtheitssiegel auf Ihrer E-Mail. Es erschwert Betrügern, sich als Sie auszugeben, und erhöht die Chance, dass Ihre echten Nachrichten im Posteingang landen statt im Spam. Es ist kostenlos und wird nur einmal eingerichtet.

Wichtig: DKIM bei Microsoft 365 läuft an zwei Stellen

DKIM ist der eine Eintrag, bei dem es wirklich darauf ankommt, wer was macht. Microsoft 365 macht es zudem etwas anders als die meisten Anbieter – gut zu wissen, damit Sie nicht hängen bleiben:

• Microsoft verwendet zwei CNAME-Einträge, keinen langen TXT-Schlüssel. Die meisten Anbieter geben Ihnen einen riesigen öffentlichen TXT-Schlüssel. Microsoft lässt Sie stattdessen zwei kurze CNAME-Einträge veröffentlichen (genannt selector1 und selector2), die auf Microsoft zurückverweisen. Microsoft hält die eigentlichen Schlüssel und kann sie hinter diesen Verweisen sicher austauschen.
• Ihr DNS-Betreiber veröffentlicht die beiden CNAMEs. Sie tragen sie dort ein, wohin die Nameserver Ihrer Domain zeigen – Ihr Registrar, Webhoster, Cloudflare usw. Das ist in der Regel nicht Microsoft (es sei denn, Sie lassen Microsoft Ihr DNS verwalten).
• Anschließend schalten Sie DKIM in Microsoft ein. Das Veröffentlichen der Einträge genügt nicht; es gibt einen letzten Schritt in Microsofts Sicherheitsportal, in dem Sie das Signieren aktivieren.

Also: zwei CNAMEs beim DNS-Betreiber veröffentlichen, dann in Microsoft gehen und DKIM einschalten.

Schritt 1 – Die beiden Eintragswerte von Microsoft holen

1. Melden Sie sich als Administrator an und öffnen Sie das Microsoft-Sicherheitsportal unter security.microsoft.com.
2. Gehen Sie zum Bereich E-Mail & Zusammenarbeit und suchen Sie Richtlinien & Regeln → Bedrohungsrichtlinien → Einstellungen für die E-Mail-Authentifizierung → DKIM (Microsoft verschiebt diese Bezeichnungen gelegentlich – halten Sie nach DKIM unter den Einstellungen für E-Mail-Authentifizierung oder Antispam Ausschau).
3. Wählen Sie Ihre Domain.
4. Microsoft zeigt Ihnen die beiden Einträge, die Sie anlegen müssen. Sie sehen so aus, mit Ihrer eigenen Domain und eindeutigen Codes ausgefüllt:
   • Host 1: selector1._domainkey → verweist auf selector1-<ihre-domain>._domainkey.<ihr-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → verweist auf selector2-<ihre-domain>._domainkey.<ihr-tenant>.onmicrosoft.com
5. Kopieren Sie beide Zielwerte exakt. Diese können Sie sich nicht ausdenken – Microsoft erzeugt sie für Ihren Tenant.

Schritt 2 – Die beiden CNAMEs beim DNS-Betreiber veröffentlichen

Stellen Sie zunächst sicher, dass Sie bei dem Unternehmen arbeiten, das Ihr DNS tatsächlich betreibt. Die Einträge funktionieren nur, wenn sie dort eingetragen werden, wohin die Nameserver Ihrer Domain zeigen. Sind Sie unsicher, prüfen Sie den Abschnitt Nameservers in Ihrem Registrar-Konto oder fragen Sie, wer Ihre Website verwaltet.

1. Melden Sie sich bei Ihrem DNS-Betreiber an und öffnen Sie die DNS-Einstellungen für Ihre Domain (suchen Sie nach DNS / Records / Advanced DNS).
2. Fügen Sie einen neuen Eintrag hinzu und wählen Sie CNAME (nicht TXT – das ist der Teil, den die Leute falsch machen).
3. Tragen Sie für den ersten Eintrag im Feld Name / Host nur selector1._domainkey ein. Hängen Sie Ihre Domain nicht hinten an; der DNS-Betreiber ergänzt sie automatisch.
4. Fügen Sie im Feld Value / Points to / Target Microsofts erstes Ziel ein, z. B. selector1-<ihre-domain>._domainkey.<ihr-tenant>.onmicrosoft.com.
5. Wiederholen Sie das für den zweiten Eintrag: Name = selector2._domainkey, Value = Microsofts zweites Ziel.
6. Lassen Sie TTL auf dem Standardwert.
7. Speichern Sie beide.

Schritt 3 – DKIM einschalten, zurück in Microsoft

Das Veröffentlichen der Einträge genügt nicht – Sie müssen Microsoft anweisen, mit dem Signieren zu beginnen.

1. Kehren Sie zur DKIM-Seite im Microsoft-Sicherheitsportal zurück.
2. Wählen Sie Ihre Domain und stellen Sie Nachrichten für diese Domain mit DKIM-Signaturen signieren auf Ein (der Schalter kann auch mit Aktivieren beschriftet sein).
3. Microsoft prüft, ob die beiden Einträge in Ihrem DNS sichtbar sind. Findet es sie noch nicht, geben Sie dem DNS etwas Zeit zur Verbreitung (Minuten bis einige Stunden) und versuchen Sie es erneut.

Stolperfallen, die häufig danebengehen

• CNAME, nicht TXT. Microsofts DKIM verwendet zwei CNAME-Einträge, die auf Microsoft zurückverweisen. Der Versuch, einen öffentlichen TXT-Schlüssel einzufügen (wie es andere Anbieter handhaben), funktioniert hier nicht.
• Beide Einträge, dann der Schalter. Sie brauchen selector1 und selector2 veröffentlicht, dann den Aktivierungsschritt innerhalb von Microsoft. Wer den Schalter auslässt, hat die Einträge zwar, aber Microsoft signiert Ihre Nachrichten nie.
• Tragen Sie nicht die ganze Domain in Host ein. Geben Sie nur selector1._domainkey / selector2._domainkey ein – der Rest wird ergänzt. Wer die Domain erneut anhängt, erzeugt einen fehlerhaften Host wie selector1._domainkey.ihredomain.de.ihredomain.de.
• Fügen Sie die Ziele exakt ein. Die onmicrosoft.com-Ziele enthalten Ihren Tenant-Namen und eindeutige Codes – ein falsches Zeichen, und DKIM wird nicht validiert.
• Achten Sie auf die Anführungszeichen. Ein CNAME-Ziel ist ein reiner Hostname; setzen Sie ihn nicht in "...". Anführungszeichen gehören zu TXT-Einträgen, nicht zu CNAMEs.
• Geben Sie ihm Zeit. DNS-Änderungen brauchen ein paar Minuten bis einige Stunden, bis Microsoft sie bestätigen kann und DKIM zu prüfen beginnt.

Prüfen, ob es geklappt hat

Nachdem Sie beide Einträge veröffentlicht, DKIM eingeschaltet und eine kurze Verbreitungszeit abgewartet haben, nutzen Sie den kostenlosen Test auf Defaults.Exposed. Er bestätigt Ihnen in klarer Sprache, ob Ihr DKIM veröffentlicht und lesbar ist. Ihre Daten werden in der EU verarbeitet.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.