DKIM für Office 365 einrichten: Schritt-für-Schritt-Anleitung

Falsch konfiguriertes DKIM ist eine der häufigsten Ursachen für die fehlende Zustellbarkeit von E-Mails in Microsoft 365-Umgebungen (früher Office 365). 

Ohne sie können Ihre ausgehenden Nachrichten zwar SPF passieren, aber dennoch als nicht authentifiziert gekennzeichnet werden. Dies löst Spam-Filter aus, scheitert am DMARC-Abgleich und erhöht die Anfälligkeit für Spoofing und Phishing.

Die DKIM-Konfiguration von Microsoft erstreckt sich über mehrere Verwaltungsportale und erfordert oft PowerShell, um sie abzuschließen.

Diese Komplexität führt zu unvollständigen Konfigurationen oder langen Verzögerungen bei der Bereitstellung einer ordnungsgemäßen Domänenauthentifizierung.

Dieser Leitfaden vereinfacht den Prozess in sechs klaren, umsetzbaren Schritten. Sie erfahren, wie Sie DKIM-Einträge generieren, CNAMEs veröffentlichen, die Signierung aktivieren und überprüfen, ob Ihre benutzerdefinierte Domain E-Mails korrekt authentifiziert.

Voraussetzungen für die Konfiguration von DKIM in Office 365

Bevor Sie beginnen, sollten Sie sicherstellen, dass alle erforderlichen Domänen- und Verwaltungseinstellungen überprüft wurden. Wenn Sie sich ein paar Minuten Zeit nehmen, um diese Einstellungen jetzt zu überprüfen, können Sie später stundenlange Fehlersuche vermeiden

• Überprüfte benutzerdefinierte Domäne: Ihre Domäne muss in Microsoft 365 hinzugefügt und verifiziert werden. DKIM funktioniert nicht mit der Standarddomäne onmicrosoft.com.
  Weitere Informationen finden Sie in unserem Leitfaden darüber, warum die Verwendung einer separaten Domäne für den Versand von Cold-E-Mails wichtig ist. 

• Admin-Berechtigungen: Für den Zugriff und die Konfiguration der DKIM-Einstellungen benötigen Sie Global-Admin-Rechte oder gleichwertige Berechtigungen.

• Zugang zum DNS-Anbieter: Stellen Sie sicher, dass Sie Zugang zu Ihrem DNS-Host (GoDaddy, Cloudflare, Route53 usw.) haben, um zwei CNAME-Einträge hinzuzufügen.

• Keine DKIM-Einträge vorhanden: Stellen Sie sicher, dass selector1._domainkey und selector2._domainkey nicht existieren oder keine falschen Werte enthalten, die mit der neuen Einrichtung in Konflikt geraten könnten

• Planen Sie Zeit für die DNS-Verbreitung ein: Einige Änderungen werden innerhalb von Minuten wirksam, während es bei anderen 24 bis 48 Stunden dauern kann, bis sie sich verbreitet haben und von Microsoft 365 erkannt werden.

Einrichten von DKIM in Office 365 (Schritt für Schritt)

Dieser Abschnitt enthält die wesentlichen Schritte zur Aktivierung der DKIM-Signierung in Ihrer Office 365-Domäne. Befolgen Sie diese sechs Schritte sorgfältig, um eine korrekte Konfiguration sicherzustellen, sofern Sie die Voraussetzungen erfüllt haben

Schritt 1: Wählen Sie Ihre Domäne in Microsoft Defender

• Gehen Sie zu security.microsoft.com und melden Sie sich als Global Admin an.
• Navigieren Sie zu: E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen → DKIM
• Wählen Sie in der Liste der Domänen Ihre benutzerdefinierte Domäne aus (nicht die Standarddomäne onmicrosoft.com)

Es werden nur Domänen angezeigt, die in Ihrem Microsoft 365-Tenant überprüft wurden. Wenn Ihre Domäne nicht aufgeführt ist, wurde sie wahrscheinlich noch nicht im Microsoft 365-Administrationszentrum hinzugefügt oder überprüft.

Schritt 2: Erzeugen von DKIM-Schlüsseln für selector1 und selector2

Wenn Sie auf die DKIM-Einstellungen für Ihre Domäne klicken, zeigt Microsoft zwei erforderliche CNAME-Einträge an, bei denen es sich um die öffentlichen Schlüssel für Ihre Domäne handelt.

Sie sind typischerweise benannt:

• selector1._domainkey.ihredomain.de
  
• selector2._domainkey.ihredomain.de

Sie verweisen auf von Microsoft gehostete DKIM-Schlüsselendpunkte wie:

• selector1-yourdomain-com._domainkey.yourdomain.onmicrosoft.com

Diese Werte werden dynamisch generiert, kopieren Sie sie also immer genau so, wie sie angezeigt werden. Ändern oder approximieren Sie sie niemals manuell.

Schritt 3: Fügen Sie zwei CNAME-Einträge zu Ihrem DNS hinzu

• Melden Sie sich bei Ihrem DNS-Anbieter an (z. B. Cloudflare, GoDaddy, Route53, cPanel).
  Erstellen Sie die beiden von Microsoft bereitgestellten CNAME-Einträge

Hinweis: Die DNS-Benutzeroberfläche jedes Anbieters ist unterschiedlich, aber die Selektornamen folgen immer diesem Muster:

• selector1._domainkey.ihredomain.com und 
• selector2._domainkey.ihredomain.de

Cloudflare Proxy-Warnung: Setzen Sie diese auf "Nur DNS". Stellen Sie sie nicht als Proxy ein, da Microsoft sonst die Datensätze nicht validieren kann.

Wenn DKIM bereits zuvor eingerichtet wurde (bei einem anderen E-Mail-Anbieter), sollten Sie zunächst prüfen, ob es widersprüchliche selector1/2._domainkey-Einträge gibt, und diese entfernen.

Schritt 4: Warten auf DNS-Verbreitung

Nach dem Speichern der Einträge beginnt die DNS-Propagierung. Dies kann dauern:

• Weniger als 15 Minuten
• Bis zu 24-48 Stunden, je nach TTL, DNS-Caching und Ausbreitungsverzögerungen
• In seltenen Fällen, so warnt Microsoft, kann es bis zu 4 Tage dauern, bis die Datensätze intern entdeckt werden.

Sie können überprüfen, ob die Datensätze aktuell sind, indem Sie Tools wie

• nslookup
• MXToolbox DKIM-Suche

Schritt 5: Aktivieren Sie die DKIM-Signierung in Microsoft 365

• Zurück zum DKIM-Einstellungsfeld im Defender-Portal
• Klicken Sie auf "Aktivieren" oder schalten Sie "Nachrichten für diese Domain mit DKIM-Signaturen signieren" ein

Wenn DNS erkannt wird, wird der Status auf "Signing" aktualisiert. Wenn die Umschaltung fehlschlägt oder Sie eine Fehlermeldung wie "CNAME-Eintrag existiert nicht für diese Konfiguration" erhalten , hat sich DNS möglicherweise noch nicht ausgebreitet, versuchen Sie es also in ein paar Stunden erneut.

Schritt 6: Senden Sie eine Test-E-Mail und überprüfen Sie die DKIM-Kopfzeilen

• Senden Sie eine E-Mail von Ihrer Office 365-Domäne an einen Gmail- oder Yahoo-Posteingang
• Öffnen Sie die E-Mail, sehen Sie sich die vollständigen Kopfzeilen an, und suchen Sie nach:

Authentication-Results: ... dkim=pass ...

Vergewissern Sie sich außerdem, dass die unter d= im DKIM-Signatur-Header aufgeführte Domäne mit Ihrer benutzerdefinierten Domäne übereinstimmt.

DMARC ist ein weiterer wichtiger Datensatz, den Sie einrichten müssen. Lesen Sie unseren DMARC-Anleitung für eine schnelle Einrichtung.

Fehlerbehebung bei der DKIM-Einrichtung in Office 365

In diesem Abschnitt können Sie die häufigsten DKIM-Einrichtungsprobleme schnell erkennen und beheben, ohne unklare Microsoft-Fehler zu interpretieren oder zu raten.

Fehler: "CNAME-Eintrag existiert nicht"

Microsoft kann die erforderlichen Datensätze selector1 und selector2 nicht erkennen.

Reparieren:

• Überprüfen Sie die Felder host und value in Ihren DNS-Einstellungen
• Vergewissern Sie sich, dass Sie Ihre Domäne nicht zweimal in den Hostnamen aufgenommen haben (z. B. selector1._domainkey.yourdomain.com.yourdomain.com)
• Wenn Sie Cloudflare verwenden, stellen Sie sicher, dass Sie den Proxy für diese Datensätze ausgeschaltet haben    

Problem: E-Mails sind immer noch mit onmicrosoft.com signiert

DKIM ist technisch gesehen aktiv, aber Microsoft verwendet immer noch die Standard-Mieterdomäne anstelle Ihrer benutzerdefinierten Domäne.

Reparieren:

• Wahrscheinlich haben Sie den letzten Schritt zur Aktivierung Ihrer benutzerdefinierten Domain übersprungen
• Gehen Sie zurück zu den DKIM-Einstellungen in Defender und schalten Sie die Option "Nachrichten für diese Domain signieren" ein, um sie zu aktivieren 

Fehler: DKIM schlägt auch nach der Einrichtung fehl

Der DNS ist aktiv, aber die E-Mail-Kopfzeilen zeigen dkim=fail oder gar keine Signatur an.

Reparieren:

• Dies ist in der Regel eine Verzögerung bei der Ausbreitung. Die Datensätze können für Sie live sein, aber noch nicht für Microsofts DNS sichtbar
• Es kann auch passieren, wenn nur einer der beiden Selektoren veröffentlicht wird oder die falsche Domäne verwendet wird
• Überprüfen Sie die Formatierung des Selektors, und stellen Sie sicher, dass die CNAMEs öffentlich aufgelöst werden

Problem: Kein DKIM-Header in gesendeten E-Mails

Die E-Mail wird von einer Domäne gesendet, für die DKIM nicht aktiviert ist.

Reparieren:

• Stellen Sie sicher, dass die "Von" -Domäne mit derjenigen übereinstimmt, in der DKIM konfiguriert wurde.
• Wenn Sie mehrere Domänen oder Aliase verwenden, müssen Sie die DKIM-Einrichtung für jede Domäne einzeln vornehmen

Um sicherzustellen, dass alles korrekt funktioniert, senden Sie eine Test-E-Mail und lassen Sie sie durch den MailReach-Spam-Test laufen. Er zeigt sofort an, ob DKIM funktioniert und weist auf DNS- oder Signierungsprobleme hin, bevor sie sich auf die Platzierung im Posteingang auswirken.

Erweiterte DKIM-Einrichtung in Office 365 über PowerShell

Diese Methode ist für Administratoren gedacht, die mehrere Domänen verwalten, die Konfiguration über Tenants hinweg automatisieren oder Domänen verwalten, die in der Benutzeroberfläche nicht sichtbar sind. Wenn Sie eine einzelne Domäne verwalten, ist das Defender-Portal schneller und zuverlässiger, während PowerShell eine größere administrative Kontrolle bietet.

Verbindung zu Exchange Online

Stellen Sie zunächst mit Ihren Microsoft 365-Administratoranmeldeinformationen eine Verbindung zu Exchange Online PowerShell her. So können Sie DKIM-Konfigurationen in großem Umfang anzeigen und verwalten.

DKIM-Status prüfen

Führen Sie einen Befehl aus, um alle DKIM-Konfigurationen in Ihrem Mandanten aufzulisten. Auf diese Weise können Sie feststellen, welche Domänen bereits DKIM eingerichtet haben und welche noch bearbeitet werden müssen.

DKIM für eine neue Domäne initialisieren

Wenn Ihre Domäne nicht aufgeführt ist, müssen Sie DKIM manuell initialisieren. Dadurch wird die Konfiguration erstellt und Microsoft angewiesen, DKIM-Schlüssel für Ihre benutzerdefinierte Domäne vorzubereiten.

CNAME-Einträge von PowerShell abrufen

Nach der Initialisierung können Sie die genauen CNAME-Einträge selector1 und selector2 für diese Domäne abrufen. Diese müssen genau wie bei der Standardmethode in Ihren DNS-Einstellungen veröffentlicht werden.

DKIM-Signierung aktivieren

Nachdem Sie bestätigt haben, dass die Datensätze übertragen wurden, aktivieren Sie die DKIM-Signierung für die Domäne. Dadurch wird die Konfiguration aktiviert und die Signierung ausgehender E-Mails beginnt.

DKIM-Schlüssel rotieren (optional)

Microsoft unterstützt die Schlüsselrotation für mehr Sicherheit. Bei Bedarf können Sie eine Rotation mit einem einzigen PowerShell-Befehl auslösen. Solange beide Selektoren im DNS verbleiben, ist der Übergang nahtlos.

PowerShell ist eine effektive Option für das Onboarding mehrerer Domains oder die Verwaltung eines globalen Tenants.

Selbst mit Automatisierung stellt DKIM nur eine Komponente Ihrer E-Mail-Authentifizierungsstrategie dar. MailReach hilft Ihnen bei der Überwachung der Domain-Reputation und der Spam-Platzierung in großem Umfang, insbesondere wenn Sie das Volumen über mehrere Marken oder Kunden hinweg verwalten.

Wie lange es dauert, bis DKIM in Betrieb geht

Stellen Sie realistische Erwartungen an die Zeitplanung. Die DKIM-Einrichtung geht bei Ihnen schnell, aber die Postfachanbieter erkennen Änderungen möglicherweise nicht sofort.

DNS-Verbreitung: 15 Minuten bis 48 Stunden

Sobald Sie die CNAME-Einträge in Ihrem DNS veröffentlicht haben, können sie innerhalb von Minuten oder in manchen Fällen sogar innerhalb von zwei vollen Tagen wirksam werden. Dies hängt von den TTL-Werten und dem Aktualisierungszyklus Ihres DNS-Hosts ab.

Solange sich die Datensätze nicht global verbreitet haben, lässt Microsoft Sie DKIM nicht aktivieren. Wenn nach der Veröffentlichung der Datensätze immer noch DNS-Fehler auftreten, handelt es sich in der Regel um eine Verzögerung bei der Verbreitung und nicht um eine Fehlkonfiguration.

DKIM-Signierung: Sofort nach Aktivierung

Nachdem Sie DKIM im Microsoft 365-Portal aktiviert haben und das System Ihre Datensätze erkannt hat, wird die Signierung sofort wirksam. Alle neuen ausgehenden E-Mails enthalten von diesem Zeitpunkt an eine DKIM-Signatur.

DKIM kann jedoch nicht rückwirkend angewendet werden. Alle E-Mails, die vor der Aktivierung von DKIM gesendet wurden, bleiben unsigniert.

Schlüsseldrehung: Kann bis zu 96 Stunden dauern

Wenn Sie DKIM-Schlüssel austauschen, planen Sie zusätzliche Zeit für den Übergang ein. Microsoft kann das aktive Signieren mit dem neuen Selektor bis zu vier Tage verzögern, um sicherzustellen, dass DNS-Änderungen vollständig erkannt werden.

Sowohl selector1- als auch selector2-Datensätze sollten im DNS verbleiben, um Unterbrechungen während der Schlüsselerneuerung zu vermeiden.

In den ersten 24 Stunden nach der Einrichtung kann es sein, dass Mailbox-Anbieter wie Gmail oder Outlook Ihre Domäne noch als nicht verifiziert behandeln, insbesondere wenn sie die DKIM-Einträge noch nicht erkennen können. Wenn Sie in dieser Zeit eine gemischte Posteingangsplatzierung oder niedrigere Öffnungsraten beobachten, sollten Sie nicht in Panik geraten.

Best Practices für die DKIM-Einrichtung in Office 365

Dies sind praktische, langfristige Gewohnheiten, um Ihre DKIM-Konfiguration aufrechtzuerhalten, insbesondere wenn Sie die Zustellbarkeit über mehrere Postfächer oder Geschäftsbereiche hinweg verwalten. Zu jeder Gewohnheit gehört ein Beispiel aus der Praxis, damit Sie wissen, wann sie wichtig ist.

2048-Bit-Schlüssel verwenden

Microsoft 365 (früher Office 365) verwendet standardmäßig 2048-Bit-DKIM-Schlüssel. Es wird empfohlen, diese Einstellung beizubehalten. Einige ältere Systeme verwenden noch 1024-Bit-Schlüssel, aber viele Anbieter (einschließlich Google Mail) betrachten diese jetzt als schwach.

Beispiel: Wenn Ihre Domäne zuvor mit 1024-Bit-DKIM auf einer anderen Plattform (wie cPanel) eingerichtet war, wechseln Sie bei der Migration zu Office 365 zu 2048-Bit. Ein Unterschied in der Schlüsselstärke kann zu Problemen bei der Zustellbarkeit während der Aufwärmphase oder bei der Durchsetzung von DMARC führen.

DKIM-Schlüssel alle 6-12 Monate erneuern

Die Schlüsselrotation verringert das Risiko einer Kompromittierung und trägt zur Einhaltung von Compliance-Standards bei.

Beispiel: Wenn Sie transaktionsbezogene oder regulierte E-Mails (in Bereichen wie Finanzen, Gesundheitswesen, Bildung) versenden, kann ein Wechsel der DKIM-Schlüssel alle 6-12 Monate internen Audits und Sicherheitsüberprüfungen genügen. Außerdem wird dadurch die Exposition gegenüber veralteten Schlüsseln bei Domänen- oder IT-Übergängen reduziert.

DKIM-Domäne "d=" mit Ihrer Absenderadresse abgleichen

Damit DKIM den DMARC-Abgleich bestehen kann, muss die Domäne in der DKIM-Signatur (d=) mit der Domäne in Ihrer Absenderadresse übereinstimmen.

Beispiel: Wenn Sie von marketing@brand.com senden, Ihr DKIM aber noch von onmicrosoft.com signiert ist, schlägt DMARC fehl. Dies passiert häufig, wenn Administratoren den letzten Schritt der Aktivierung von DKIM für die benutzerdefinierte Domäne überspringen. Dies sollte korrigiert werden, bevor Sie eine p=reject DMARC-Richtlinie erzwingen.

selector1/2 CNAMEs nicht löschen

Auch nach der Aktivierung von DKIM sollten Sie die CNAMEs in Ihrem DNS belassen. Microsoft 365 verwendet beide Selektoren, um eine nahtlose Schlüsselrotation zu ermöglichen.

Beispiel: Ein jüngeres Teammitglied könnte selector1._domainkey entfernen, weil es ihn für überflüssig hält. Dies unterbricht den Schlüssel-Rollover und kann dazu führen, dass die Signierung unbemerkt fehlschlägt. Lassen Sie immer beide Datensätze veröffentlicht, es sei denn, Microsoft sagt ausdrücklich etwas anderes.

Kombinieren Sie DKIM mit SPF, DMARC und Domänenerwärmung

DKIM ist ein Teil des Vertrauensprofils Ihrer Domäne. Um den Posteingang zu schützen, kombinieren Sie es mit:

• Ein gültiger SPF-Eintrag
  
• Eine DMARC-Richtlinie auf Überwachungs- oder Durchsetzungsebene
  
• Ein strukturierter E-Mail-Aufwärmprozess
  

Beispiel: Wenn Sie von einer neuen Domäne aus einen Cold Outreach starten, wird DKIM allein die Spam-Filterung nicht verhindern. Die Kombination mit SPF, einem DMARC-Eintrag (p=none zu Beginn) und einem E-Mail-Warm-up-Tool gibt Postfachanbietern im Laufe der Zeit konsistente Signale. Dies ist besonders wichtig, wenn Ihr Versandvolumen schnell ansteigt.

Eine starke Authentifizierung ist Ihre technische Grundlage, aber sie ist nur ein Teil der Posteingangsplatzierung. MailReach unterstützt Sie bei der Aufrechterhaltung mit täglichen Spam-Tests, der Verfolgung der Domain-Reputation und einem automatischen Warm-up, das Ihre DKIM-, SPF- und DMARC-Einstellungen respektiert.

Letzte Schritte für eine bessere Zustellbarkeit

Das Einrichten von DKIM in Office 365 ist schnell erledigt, aber die Auswirkungen verstärken sich mit der Zeit. Sie haben jetzt eine wichtige Authentifizierungsebene hinzugefügt, die von Postfachanbietern überprüft wird, wenn sie entscheiden, ob Ihre kalten E-Mails im Posteingang oder im Spam-Ordner landen.

DKIM dient als technische Grundlage und verifiziert die Identität Ihrer Domain. Der Aufbau einer Absenderreputation erfordert jedoch kontinuierliche Bemühungen...

Die eigentliche Herausforderung beginnt nach der Einrichtung. Neue Domänen, neue Posteingänge oder plötzliche Volumenspitzen können immer noch Spam-Filter auslösen, selbst wenn DKIM installiert ist. Ohne konsequente Tests und Überwachung werden Sie nicht wissen, ob sich Ihr Ruf verbessert oder ob er leise abnimmt.

Genau hier können wir helfen. Sind Sie bereit, weiter zu gehen?

MailReach automatisiert das Aufwärmen des Posteingangs, DKIM- und SPF-Tests sowie die Überwachung des Zustands der Domäne bei verschiedenen Mailbox-Anbietern, um sicherzustellen, dass E-Mails an die Posteingänge Ihrer potenziellen Kunden zugestellt werden.

Erforschen Sie das automatische Aufwärmen von E-Mails.