Tags: Exchange, Microsoft 365, E-Mail, Sicherheit
In Zeiten, in denen eine Spam-Welle die nächste jagt und sich Datendiebe jeden Tag etwas Neues ausdenken, ist es wichtig, die Mail-Kommunikation ausreichend zu schützen. Einen Beitrag dazu leistet DKIM, weil es die Authentizität des Absenders prüft. Die Anleitung zeigt, wie man es in Exchange Online aktiviert.
DKIM (Domain Keys Identified Mail) ist eine Methode der E-Mail-Authentifizierung, bei der die Verwendung einer Signatur zum Einsatz kommt, welche das Fälschen des Absenders erschweren soll. Aktuell verwenden viele Anbieter von E-Mail-Gateways bereits zwei DKIM-Schlüssel, um noch mehr Sicherheit zu erreichen.
Wie funktioniert DKIM?
Wenn ein User aus seinem Mail-Client am Desktop, Smartphone oder von wo auch immer eine Nachricht versendet, fügt DKIM eine Signatur zum Header der Mail hinzu. Sie ist dem sendenden Mail-Server und der Absender-Domain bekannt bzw. dort hinterlegt.
Der empfangende Mail-Server bzw. das Mail-Gateway schaut nun beim Eintreffen einer Nachricht, ob sie auch wirklich vom Absender selbst stammt. Dazu verwendet er in den öffentlichen Schlüssel der Absenderdomäne, welcher in deren DNS-Zone hinterlegt ist.
Mails mit gefälschtem Absender
Ist dieser Schlüssel korrekt, dann lässt der Server die E-Mail durch. Kann der Schlüssel die Signatur nicht verifizieren, dann wird mit der Nachricht je nach Unternehmenskultur unterschiedlich verfahren.
Grundsätzlich würde es allerdings keinen Sinn machen, dem Empfänger eine solche E-Mail zuzustellen. Die Wahrscheinlichkeit für Spam oder einen Phishing-Angriff wäre dabei sehr hoch.
Vielmehr liegt es nahe, eine DMARC-Policy zu definieren, die bestimmt, wohin solche abgelehnten Nachrichten umgeleitet werden (siehe dazu auch: DKIM, SPF, DMARC: E-Mails sicher versenden mit CommuniGate Pro).
DKIM in Exchange Online einrichten
Wie hinterlegt man nun bei Exchange Online einen DKIM-Schlüssel, wenn man kein eigenständiges E-Mail-Gateway hat, welches die E-Mails vorfiltert? In der Exchange Online ECP befindet sich der Eintrag für DKIM unter Schutz.
Hier müssten alle Domains zu sehen sein, für die Exchange Online zuständig ist. Wenn Sie Office 365 bereits eingerichtet haben und weitere Domains hinzukommen sollen, dann können Sie diese nicht über die ECP eintragen, sondern müssen über das Office 365 Admin Center gehen.
Dort kann man sie unter Setup => Domänen hinzufügen (zum Vorgehen siehe meine Anleitung, um Exchange in Office 365 einzurichten).
Wenn man nun DKIP für eine Domäne aktivieren möchte, dann muss man einfach nur auf den Link Aktivieren klicken. Allerdings erscheint dann wahrscheinlich eine Fehlermeldung, wonach für die betreffende Domäne die zwei erforderlichen CNAME-Einträge im DNS fehlen.
Sie zeigt auch gleich die Werte an, die man dafür verwenden muss.
CNAME im DNS hinzufügen
Ich zeige das Vorgehen hier anhand meines Accounts bei Strato. Dort wechsle ich in die Domain-Verwaltung und öffne die DNS Einstellungen.
Hier kann man dann den Menüpunkt TXT Records inklusive SPF und DKIM Einstellungen erweitern.
Hinweis: Wenn unter NS Record nicht die Strato-eigenen Name Server genutzt werden, sondern die von Microsoft, dann sind hier alle anderen Felder ausgegraut. Die Einträge unter CNAME wären dann nicht möglich und müssten über das Azure Admin Center unter DNS Zone vorgenommen werden.
Hier trage ich nun die beiden von Office 365 geforderten CNAME ein. Es kann einige Minuten dauern, bis die Aktivierung von DKIM über Exchange Online möglich ist. In der Zwischenzeit kann man auf folgender Seite prüfen, ob die DKIM-Einträge korrekt sind.
Nach ca. 10 bis 15 Minuten war in meiner Beispielkonfiguration die DKIM-Aktivierung über die ECP-Konsole von Exchange Online erfolgreich.
DKIM mit PowerShell konfigurieren
Alternativ zur GUI kann man DKIM mit PowerShell über diesen Befehl einrichten:
New-DkimSigningConfig -DomainName contoso.com -Enabled $true
Die Domäne contoso.com muss man natürlich durch seine eigene ersetzen.
Exchange signiert ab nun alle ausgehenden Nachrichten, so dass die Empfänger ihre Herkunft überprüfen können.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Hornetsecurity Plan 4 für 365 Total Protection Suite: Empfänger-Validierung, Phishing-Simulation, Permission Manager
- Outlook-Ordner auf Englisch: Sprache ändern
- Exchange Online setzt nun DMARC-Policy um
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Neue Rückruf-Funktion für E-Mails in Exchange Online
Weitere Links
1 Kommentar
Danke für den Artikel. interessant wäre noch, wenn du schreibst, wie man einen dmarc report deutet und auf Fehler untersucht.