Exchange Online für DKIM konfigurieren

    Sicherer Versand von E-MailsIn Zeiten, in denen eine Spam-Welle die nächste jagt und sich Daten­diebe jeden Tag etwas Neues aus­denken, ist es wichtig, die Mail-Kommu­nikation aus­reichend zu schützen. Einen Beitrag dazu leistet DKIM, weil es die Authen­tizität des Ab­senders prüft. Die Anleitung zeigt, wie man es in Exchange Online aktiviert.

    DKIM (Domain Keys Identified Mail) ist eine Methode der E-Mail-Authen­tifizierung, bei der die Ver­wendung einer Signatur zum Einsatz kommt, welche das Fälschen des Absenders erschweren soll. Aktuell ver­wenden viele Anbieter von E-Mail-Gateways bereits zwei DKIM-Schlüssel, um noch mehr Sicherheit zu erreichen.

    Wie funktioniert DKIM?

    Wenn ein User aus seinem Mail-Client am Desktop, Smartphone oder von wo auch immer eine Nachricht versendet, fügt DKIM eine Signatur zum Header der Mail hinzu. Sie ist dem sendenden Mail-Server und der Absender-Domain bekannt bzw. dort hinterlegt.

    Der empfangende Mail-Server bzw. das Mail-Gateway schaut nun beim Eintreffen einer Nachricht, ob sie auch wirklich vom Absender selbst stammt. Dazu verwendet er in den öffent­lichen Schlüssel der Absender­domäne, welcher in deren DNS-Zone hinterlegt ist.

    Mails mit gefälschtem Absender

    Ist dieser Schlüssel korrekt, dann lässt der Server die E-Mail durch. Kann der Schlüssel die Signatur nicht verifizieren, dann wird mit der Nachricht je nach Unter­nehmens­kultur unter­schiedlich verfahren.

    Grund­sätzlich würde es allerdings keinen Sinn machen, dem Empfänger eine solche E-Mail zuzustellen. Die Wahr­scheinlich­keit für Spam oder einen Phishing-Angriff wäre dabei sehr hoch.

    Vielmehr liegt es nahe, eine DMARC-Policy zu definieren, die bestimmt, wohin solche abgelehnten Nachrichten umgeleitet werden (siehe dazu auch: DKIM, SPF, DMARC: E-Mails sicher versenden mit CommuniGate Pro).

    DKIM in Exchange Online einrichten

    Wie hinterlegt man nun bei Exchange Online einen DKIM-Schlüssel, wenn man kein eigen­ständiges E-Mail-Gateway hat, welches die E-Mails vorfiltert? In der Exchange Online ECP befindet sich der Eintrag für DKIM unter Schutz.

    DKIM aktivieren in der ECP von Exchange Online.

    Hier müssten alle Domains zu sehen sein, für die Exchange Online zuständig ist. Wenn Sie Office 365 bereits einge­richtet haben und weitere Domains hinzu­kommen sollen, dann können Sie diese nicht über die ECP eintragen, sondern müssen über das Office 365 Admin Center gehen.

    Dort kann man sie unter Setup => Domänen hinzufügen (zum Vorgehen siehe meine Anleitung, um Exchange in Office 365 einzurichten).

    Neue Domäne im Office 365 Admin Center hinzufügen

    Wenn man nun DKIP für eine Domäne aktivieren möchte, dann muss man einfach nur auf den Link Aktivieren klicken. Allerdings erscheint dann wahr­scheinlich eine Fehler­meldung, wonach für die betreffende Domäne die zwei erforderlichen CNAME-Einträge im DNS fehlen.

    Wenn man DKIM aktivieren möchte, ohne vorher die 2 CNAME für die Domäne einzutragen, zeigt die ECP einen Fehler an.

    Sie zeigt auch gleich die Werte an, die man dafür verwenden muss.

    CNAME im DNS hinzufügen

    Ich zeige das Vorgehen hier anhand meines Accounts bei Strato. Dort wechsle ich in die Domain-Verwaltung und öffne die DNS Einstellungen.

    DNS-Einstellungen bei Strato verwalten

    Hier kann man dann den Menüpunkt TXT Records inklusive SPF und DKIM Einstellungen erweitern.

    Hinweis: Wenn unter NS Record nicht die Strato-eigenen Name Server genutzt werden, sondern die von Microsoft, dann sind hier alle anderen Felder ausgegraut. Die Einträge unter CNAME wären dann nicht möglich und müssten über das Azure Admin Center unter DNS Zone vorgenommen werden.

    Von DKIM benötigte CNAME für eine von Strato gehostete Domäne eintragen

    Hier trage ich nun die beiden von Office 365 geforderten CNAME ein. Es kann einige Minuten dauern, bis die Aktivierung von DKIM über Exchange Online möglich ist. In der Zwischen­zeit kann man auf folgender Seite prüfen, ob die DKIM-Einträge korrekt sind.

    DKIM-Konfiguration für eine Domäne über dkimcore.org prüfen

    Nach ca. 10 bis 15 Minuten war in meiner Beispiel­konfiguration die DKIM-Aktivierung über die ECP-Konsole von Exchange Online erfolgreich.

    DKIM mit PowerShell konfigurieren

    Alternativ zur GUI kann man DKIM mit PowerShell über diesen Befehl ein­richten:

    New-DkimSigningConfig -DomainName contoso.com -Enabled $true

    Die Domäne contoso.com muss man natürlich durch seine eigene ersetzen.

    Exchange signiert ab nun alle aus­gehenden Nachrichten, so dass die Empfänger ihre Herkunft überprüfen können.

    1 Kommentar

    Bild von db
    db sagt:
    7. Juni 2019 - 15:27

    Danke für den Artikel. interessant wäre noch, wenn du schreibst, wie man einen dmarc report deutet und auf Fehler untersucht.