DKIM für Office 365 einrichten: Eine Schritt-für-Schritt-Anleitung

Falsch konfigurierte DKIM ist eine der häufigsten Ursachen für Fehler bei der E-Mail-Zustellung in Microsoft 365-Umgebungen (ehemals Office 365). 

Ohne sie können deine ausgehenden Nachrichten zwar SPF passieren, aber dennoch als nicht authentifiziert gekennzeichnet werden. Dies löst Spamfilter aus, führt zu einem DMARC-Fehler und erhöht das Risiko von Spoofing und Phishing.

Die DKIM-Konfiguration von Microsoft erstreckt sich über mehrere Admin-Portale und erfordert oft PowerShell, um sie abzuschließen.

Diese Komplexität führt zu unvollständigen Setups oder langen Verzögerungen beim Einsatz einer ordnungsgemäßen Domain-Authentifizierung.

Dieser Guide vereinfacht den Prozess in sechs klare, umsetzbare Schritte. Du lernst, wie du DKIM-Einträge generierst, CNAMEs veröffentlichst, die Signierung aktivierst und überprüfst, ob deine benutzerdefinierte Domain E-Mails korrekt authentifiziert.

Voraussetzungen für die Konfiguration von DKIM in Office 365

Bevor du beginnst, stelle sicher, dass alle erforderlichen Domain- und Admin-Einstellungen verifiziert sind. Wenn du dir jetzt ein paar Minuten Zeit nimmst, um dies zu überprüfen, kannst du später stundenlange Fehlersuche vermeiden.

• Verifizierte benutzerdefinierte Domain: Deine Domain muss in Microsoft 365 hinzugefügt und verifiziert sein. DKIM funktioniert nicht mit der Standard-Domain onmicrosoft.com.
  Weitere Informationen findest du in unserem Leitfaden, warum die Verwendung einer separaten Domain für den Kaltmailversand so wichtig ist. 

• Admin-Berechtigungen: Du benötigst globale Admin-Rechte oder gleichwertige Berechtigungen, um auf die DKIM-Einstellungen zuzugreifen und diese zu konfigurieren.

• DNS-Provider-Zugriff: Stelle sicher, dass du Anmeldezugriff auf deinen DNS-Host (GoDaddy, Cloudflare, Route53 usw.) hast, um zwei CNAME-Einträge hinzuzufügen.

• Keine vorhandenen DKIM-Einträge: Stelle sicher, dass selector1._domainkey und selector2._domainkey nicht existieren oder keine falschen Werte enthalten, die mit dem neuen Setup in Konflikt geraten könnten.

• Plane Zeit für die DNS-Propagation ein: Einige Änderungen werden innerhalb von Minuten wirksam, während andere 24–48 Stunden benötigen, um sich zu verbreiten und von Microsoft 365 erkannt zu werden.

Wie du DKIM in Office 365 einrichtest (Schritt-für-Schritt)

Dieser Abschnitt enthält die wesentlichen Schritte, um die DKIM-Signierung für deine Office 365-Domain zu aktivieren. Befolge diese sechs Schritte sorgfältig, um eine korrekte Konfiguration sicherzustellen, vorausgesetzt, du hast die Voraussetzungen erfüllt.

Schritt 1: Wähle deine Domain in Microsoft Defender aus

• Geh zu security.microsoft.com und melde dich als globaler Administrator an
• Gehe zu: E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen → DKIM
• Wähle aus der Liste der Domains deine eigene Domain aus (nicht die Standard-Domain onmicrosoft.com).

Du siehst nur Domains, die in deinem Microsoft 365-Tenant verifiziert wurden. Wenn deine Domain nicht aufgeführt ist, wurde sie wahrscheinlich noch nicht im Microsoft 365 Admin Center hinzugefügt oder verifiziert.

Schritt 2: Generiere DKIM-Schlüssel für selector1 und selector2

Sobald du in die DKIM-Einstellungen für deine Domain klickst, zeigt Microsoft zwei erforderliche CNAME-Records an. Das sind die Public Keys für deine Domain.

Sie werden typischerweise so genannt:

• selector1._domainkey.yourdomain.com
  
• selector2._domainkey.yourdomain.com

Sie verweisen auf von Microsoft gehostete DKIM-Key-Endpunkte wie:

• selector1-yourdomain-com._domainkey.yourdomain.onmicrosoft.com

Diese Werte werden dynamisch generiert, also kopiere sie immer exakt so, wie sie angezeigt werden. Modifiziere oder nähere sie niemals manuell an.

Schritt 3: Füge zwei CNAME-Records zu deinem DNS hinzu

• Melde dich bei deinem DNS-Provider an (z. B. Cloudflare, GoDaddy, Route53, cPanel).
  Erstelle die beiden von Microsoft bereitgestellten CNAME-Einträge

Hinweis: Die DNS-UI jedes Anbieters ist unterschiedlich, aber die Selektornamen folgen immer diesem Muster:

• selector1._domainkey.yourdomain.com und 
• selector2._domainkey.yourdomain.com

Cloudflare Proxy Warnung: Setze diese auf ‘DNS Only’. Verwende keine Proxys, da Microsoft die Einträge sonst nicht validieren kann.

Check auch, ob DKIM bereits eingerichtet war (mit einem anderen E-Mail-Anbieter), und entferne zuerst alle in Konflikt stehenden selector1/2._domainkey-Einträge.

Schritt 4: Warte auf die DNS-Propagation

Nach dem Speichern der Records beginnt die DNS-Propagation. Dies kann dauern:

• Schon ab 15 Minuten
• Bis zu 24–48 Stunden, abhängig von TTL, DNS-Caching und Propagation Delays
• In seltenen Fällen warnt Microsoft, dass es bis zu 4 Tage dauern kann, bis die Einträge intern erkannt werden.

Du kannst überprüfen, ob die Einträge live sind, indem du Tools wie diese verwendest:

• nslookup
• MXToolbox DKIM Lookup

Schritt 5: Aktiviere die DKIM-Signierung in Microsoft 365

• Kehre zum DKIM-Einstellungsfenster im Defender-Portal zurück
• Klicke auf “Aktivieren” oder schalte “Nachrichten für diese Domain mit DKIM-Signaturen signieren” ein.

Wenn DNS erkannt wird, ändert sich der Status auf “Signierung”. Wenn der Toggle fehlschlägt oder du eine Fehlermeldung wie “CNAME-Eintrag existiert nicht für diese Konfiguration” erhältst, wurde DNS möglicherweise noch nicht übertragen. Versuch es also in ein paar Stunden noch einmal.

Schritt 6: Sende eine Test-E-Mail und überprüfe die DKIM-Header

• Sende eine E-Mail von deiner Office 365 Domain an einen Gmail oder Yahoo Posteingang
• Öffne die E-Mail, zeige die vollständigen Header an und suche nach:

Authentication-Results: ... dkim=pass ...

Bestätige außerdem, dass die Domain, die unter d= im DKIM-Signature-Header aufgeführt ist, mit deiner benutzerdefinierten Domain übereinstimmt.

DMARC ist ein weiterer wichtiger Eintrag, den du einrichten musst. Lies unseren DMARC-Leitfaden für eine schnelle Einrichtung. 

Fehlerbehebung bei der DKIM-Einrichtung in Office 365

Nutze diesen Abschnitt, um schnell die häufigsten DKIM-Setup-Probleme zu identifizieren und zu beheben, ohne unklare Microsoft-Fehler interpretieren oder raten zu müssen.

Fehler: “CNAME-Eintrag existiert nicht”

Microsoft kann die erforderlichen Selector1- und Selector2-Einträge nicht erkennen.

Behoben:

• Überprüfe die Host- und Wertfelder in deinen DNS-Einstellungen doppelt.
• Stell sicher, dass du deine Domain nicht zweimal im Hostnamen angegeben hast (z.B. selector1._domainkey.yourdomain.com.yourdomain.com).
• Wenn du Cloudflare verwendest, stelle sicher, dass du den Proxy für diese Records deaktiviert hast.    

Problem: E-Mails werden immer noch mit onmicrosoft.com signiert

DKIM ist technisch aktiv, aber Microsoft verwendet immer noch die Standard-Tenant-Domain anstelle deiner benutzerdefinierten.

Behoben:

• Du hast wahrscheinlich den letzten Schritt zum „Aktivieren“ deiner benutzerdefinierten Domain übersprungen.
• Gehe zurück zu den DKIM-Einstellungen in Defender und aktiviere die Option “Nachrichten für diese Domäne signieren”, um sie zu aktivieren. 

Fehler: DKIM schlägt auch nach der Einrichtung fehl

DNS ist live, aber E-Mail-Header zeigen dkim=fail oder überhaupt keine Signatur.

Behoben:

• Dies ist normalerweise eine Propagation Delay. Die Records sind möglicherweise für dich live, aber für das DNS von Microsoft noch nicht sichtbar.
• Es kann auch passieren, wenn nur einer der beiden Selektoren veröffentlicht ist oder die falsche Domain verwendet wird.
• Überprüfe die Selektorformatierung doppelt und bestätige, dass die CNAMEs öffentlich auflösen.

Problem: Kein DKIM-Header in gesendeten E-Mails

Die E-Mail wird von einer Domain gesendet, bei der DKIM nicht aktiviert ist.

Behoben:

• Stelle sicher, dass die “From”-Domain mit der übereinstimmt, auf der DKIM konfiguriert wurde
• Wenn du mehrere Domains oder Aliase verwendest, musst du das DKIM-Setup für jede einzeln wiederholen.

Um zu bestätigen, dass alles korrekt funktioniert, sende eine Test-E-Mail und lass sie durch den MailReach Spam Test laufen. Er zeigt sofort an, ob DKIM besteht und kennzeichnet alle DNS- oder Signaturprobleme, bevor sie sich auf die Inbox-Platzierung auswirken.

Erweiterte DKIM-Einrichtung in Office 365 über PowerShell

Diese Methode ist für Admins gedacht, die mehrere Domains verwalten, die Konfiguration über Tenants hinweg automatisieren oder Domains verwalten, die in der UI nicht sichtbar sind. Wenn du eine einzelne Domain verwaltest, ist das Defender-Portal schneller und zuverlässiger, während PowerShell eine größere administrative Kontrolle bietet.

Mit Exchange Online verbinden

Beginne mit der Verbindung zu Exchange Online PowerShell unter Verwendung deiner Microsoft 365 Admin-Anmeldeinformationen. Dies ermöglicht es dir, DKIM-Konfigurationen in großem Umfang anzuzeigen und zu verwalten.

DKIM-Status prüfen

Führe einen Befehl aus, um alle DKIM-Konfigurationen in deinem Mandanten aufzulisten. Dies hilft dir zu erkennen, welche Domains bereits DKIM eingerichtet haben und welche noch Aufmerksamkeit benötigen.

DKIM für eine neue Domain initialisieren

Wenn deine Domain nicht aufgeführt ist, musst du DKIM manuell initialisieren. Dadurch wird die Konfiguration erstellt und Microsoft angewiesen, DKIM-Schlüssel für deine benutzerdefinierte Domain vorzubereiten.

CNAME-Einträge von PowerShell abrufen

Nach der Initialisierung kannst du die genauen Selector1- und Selector2-CNAME-Einträge für diese Domain abrufen. Diese müssen genau wie bei der Standardmethode in deinen DNS-Einstellungen veröffentlicht werden.

DKIM-Signierung aktivieren

Nachdem du bestätigt hast, dass die Records übertragen wurden, aktiviere die DKIM-Signierung für die Domain. Dadurch wird die Konfiguration aktiviert und mit dem Signieren ausgehender E-Mails begonnen.

DKIM-Schlüssel rotieren (optional)

Microsoft unterstützt die Schlüsselrotation für erhöhte Sicherheit. Bei Bedarf kannst du eine Rotation mit einem einzigen PowerShell-Befehl auslösen. Solange beide Selektoren im DNS verbleiben, ist der Übergang nahtlos.

PowerShell ist eine effektive Option für das Onboarding mehrerer Domains oder die Verwaltung eines globalen Tenants.

Auch mit Automatisierung ist DKIM nur ein Baustein deiner E-Mail-Authentifizierungsstrategie. MailReach hilft dir, die Domain-Reputation und Spam-Platzierung im großen Stil zu überwachen, besonders wenn du das Volumen über mehrere Marken oder Kunden hinweg verwaltest.

Wie lange es dauert, bis DKIM live geht

Setze realistische Erwartungen für das Timing. Die DKIM-Einrichtung ist auf deiner Seite schnell erledigt, aber Postfach-Anbieter erkennen Änderungen möglicherweise nicht sofort.

DNS-Propagation: 15 Minuten bis 48 Stunden

Sobald du die CNAME-Records in deinem DNS veröffentlichst, können sie innerhalb von Minuten wirksam werden, in einigen Fällen aber auch bis zu zwei volle Tage dauern. Dies hängt von den TTL-Werten und dem Aktualisierungszyklus deines DNS-Hosts ab.

Bis sich die Records global verbreitet haben, erlaubt Microsoft dir nicht, DKIM zu aktivieren. Wenn du nach der Veröffentlichung der Records immer noch DNS-Fehler siehst, handelt es sich normalerweise um eine Verzögerung bei der Weitergabe und nicht um eine Fehlkonfiguration.

DKIM-Signierung: Sofort nach der Aktivierung

Nachdem du DKIM im Microsoft 365-Portal aktiviert hast und das System deine Records erkennt, wird die Signierung sofort wirksam. Alle neuen ausgehenden E-Mails enthalten ab diesem Zeitpunkt eine DKIM-Signatur.

DKIM gilt jedoch nicht rückwirkend. Jede E-Mail, die vor der Aktivierung von DKIM gesendet wurde, bleibt unsigniert.

Schlüsselrotation: Kann bis zu 96 Stunden dauern

Wenn du DKIM-Schlüssel rotierst, plane zusätzliche Zeit für den Übergang ein. Microsoft kann die aktive Signierung mit dem neuen Selektor um bis zu vier Tage verzögern, um sicherzustellen, dass DNS-Änderungen vollständig erkannt werden.

Beide selector1- und selector2-Einträge sollten im DNS verbleiben, um Störungen während des Key-Rollovers zu vermeiden.

In den ersten 24 Stunden nach der Einrichtung behandeln Mailbox-Anbieter wie Gmail oder Outlook deine Domain möglicherweise noch als nicht verifiziert, insbesondere wenn sie die DKIM-Einträge noch nicht erkennen können. Wenn du in diesem Zeitraum eine gemischte Inbox-Platzierung oder niedrigere Öffnungsraten feststellst, keine Panik.

Bewährte Praktiken für die DKIM-Einrichtung in Office 365

Dies sind praktische, langfristige Gewohnheiten, um deine DKIM-Konfiguration gesund zu erhalten, insbesondere wenn du die Zustellbarkeit über mehrere Mailboxen oder Geschäftsbereiche hinweg verwaltest. Jede enthält ein situatives Beispiel, damit du weißt, wann es wichtig ist.

Verwende 2048-Bit-Schlüssel

Microsoft 365 (ehemals Office 365) verwendet standardmäßig 2048-Bit-DKIM-Schlüssel. Es wird empfohlen, diese Einstellung beizubehalten. Einige ältere Systeme verwenden noch 1024-Bit-Schlüssel, aber viele Anbieter (einschließlich Gmail) betrachten diese mittlerweile als schwach.

Beispiel: Wenn deine Domain zuvor mit 1024-Bit-DKIM auf einer anderen Plattform (wie cPanel) eingerichtet wurde, wechsle beim Umzug zu Office 365 auf 2048-Bit. Eine unterschiedliche Key-Stärke kann zu Problemen mit der Zustellbarkeit während des email warmups oder bei der Durchsetzung von DMARC führen.

DKIM-Schlüssel alle 6–12 Monate rotieren

Die Schlüsselrotation reduziert das Risiko von Kompromittierungen und trägt zur Aufrechterhaltung der Übereinstimmung mit den Compliance-Standards bei.

Beispiel: Wenn du transaktionale oder regulierte E-Mails versendest (in Bereichen wie Finanzen, Gesundheitswesen, Bildung), kann die Rotation der DKIM-Keys alle 6–12 Monate interne Audits und Sicherheitsüberprüfungen erfüllen. Es reduziert auch die Exposition veralteter Keys bei Domain- oder IT-Übergängen.

DKIM “d=” Domain mit deiner Absenderadresse ausrichten

Damit DKIM die DMARC-Ausrichtung besteht, muss die Domain in der DKIM-Signatur (d=) mit der Domain in deiner Absenderadresse übereinstimmen.

Beispiel: Wenn du von marketing@brand.com sendest, deine DKIM aber immer noch von onmicrosoft.com signiert ist, schlägt DMARC fehl. Dies geschieht oft, wenn Admins den letzten Schritt der Aktivierung von DKIM für die benutzerdefinierte Domain überspringen. Dies sollte korrigiert werden, bevor du eine p=reject DMARC-Policy erzwingst.

Lösche nicht selector1/2 CNAMEs

Lass die CNAMEs in deinem DNS, auch nachdem DKIM aktiviert wurde. Microsoft 365 verwendet beide Selektoren, um eine nahtlose Schlüsselrotation zu ermöglichen.

Beispiel: Ein Junior-Teammitglied könnte selector1._domainkey entfernen, weil es ihn für überflüssig hält. Dies unterbricht den Key Rollover und kann dazu führen, dass die Signierung unbemerkt fehlschlägt. Lasse immer beide Records veröffentlicht, es sei denn, Microsoft sagt ausdrücklich etwas anderes.

Kombiniere DKIM mit SPF, DMARC und Domain Warming

DKIM ist ein Teil deines Domain-Vertrauensprofils. Um die Platzierung im Posteingang zu schützen, kombiniere es mit:

• Ein gültiger SPF-Eintrag
  
• Eine DMARC-Richtlinie auf Überwachungs- oder Durchsetzungsebene
  
• Ein strukturierter Email Warm-up Prozess
  

Beispiel: Wenn du Cold Outreach von einer neuen Domain startest, verhindert DKIM allein nicht die Spamfilterung. Die Kombination mit SPF, einem DMARC-Record (p=none zum Start) und einem E-Mail-Warmy-Tool gibt Mailbox-Providern im Laufe der Zeit konsistente Signale. Dies ist besonders wichtig, wenn dein Sendevolumen schnell ansteigt.

Eine starke Authentifizierung ist dein technisches Fundament, aber nur ein Teil der Platzierung im Posteingang. MailReach hilft dir, diese aufrechtzuerhalten, mit täglichen Spam-Tests, Domain-Reputations-Tracking und einem automatischen Warmy, der deine DKIM-, SPF- und DMARC-Einstellungen berücksichtigt.

Die letzten Schritte zu einer besseren Deliverability

Das Einrichten von DKIM in Office 365 geht schnell, aber seine Wirkung verstärkt sich mit der Zeit. Du hast jetzt eine wichtige Authentifizierungsebene hinzugefügt, die Postfach-Anbieter überprüfen, wenn sie feststellen, ob deine Cold Emails im Posteingang oder im Spam-Ordner landen.

DKIM dient als dein technisches Fundament und verifiziert deine Domain-Identität. Der Aufbau einer Absender-Reputation erfordert jedoch fortlaufende Anstrengungen.

Die eigentliche Herausforderung beginnt nach dem Setup. Neue Domains, neue Posteingänge oder plötzliche Volumenspitzen können immer noch Spamfilter auslösen, selbst wenn DKIM vorhanden ist. Ohne konsistentes Testen und Überwachen wirst du nicht wissen, ob sich deine Reputation verbessert oder stillschweigend verschlechtert.

Hier können wir helfen. Bereit, noch weiter zu gehen?

MailReach automatisiert das email warmup, DKIM- und SPF-Testing sowie die Überwachung der Domain-Integrität über verschiedene Mailbox-Anbieter hinweg, um sicherzustellen, dass E-Mails in den Posteingängen deiner potenziellen Kunden landen.

Entdecke das automatisierte Email Warmup.