[German]Kurzer Hinweis für Administratoren von Microsoft Office 365 (bzw. MS365) Systemen. Microsoft hat wohl ohne große Ankündigung den DKIM-Wert zum Signieren von Mails angepasst.
Anzeige
DomainKeys Identified Mail (DKIM) ist eine Methode der E-Mail-Authentifizierung, mit der E-Mails überprüft werden können, die von Ihrem Microsoft 365-organization gesendet wurden, um gefälschte Absender zu verhindern, die bei der Kompromittierung von Geschäftlichen E-Mails (BEC), Ransomware und anderen Phishing-Angriffen verwendet werden.
Von Microsoft gibt es den Support-Beitrag Einrichten von DKIM zum Signieren von E-Mails aus Ihrer Microsoft 365-Domäne, der die DKIM-Einrichtung für Office 365 erklärt. Die Syntax der CNAME-Einträge wird in diesem Abschnitt beschrieben.
DKIM-Einträge für Office 365, Zum Vergrößern klicken
Luca S. hat mich gestern per E-Mail darauf hingewiesen, dass Microsoft bei DKIM einfach den Wert beim CNAME-Eintrag angepasst habe, ohne das zu kommunizieren. Vielleicht für den einen oder anderen Administrator von Interesse?
Anzeige
Anzeige
Ohne Worte.
Ich hab das soeben bei einem Kunden verifiziert, da ist der Eintrag noch der alte. Mal schauen, vielleicht kommt da noch was…. überraschen würd's mich nicht.
15 Domains geprüft, kann das Problem nicht bestätig, alle Einträge entsprechen nach wie vor dem Schema:
selector1-xxxxxxxxxxx-de01b._domainkey.xxxxxxxxxxxx.onmicrosoft.com
Und laufen auch ohne Probleme durch
Gruß
Scheint noch nicht für alle zu gelten. Bei uns ist es auch noch selector1-DOMAIN-DE.domainkey.INITAL.on.microsoft.com, die DKIM-Checks verlaufen aber erfolgreich.
Oder habe ich etwas missverstanden?
DAS IST DOCH NICHT DEREN ERNST!!!
Die haben doch echt der Arsch bis zum Horizont offen.
Gerade bei ein paar Kunden in die Tenants geschaut und jap … neue Einträge …
> DAS IST DOCH NICHT DEREN ERNST!!!
> Die haben doch echt der Arsch bis zum Horizont offen.
Und wer hat nochmal entschieden, das wichtigste Kommunikationsmedium eines Unternehmens in deren Hände zu legen?
Frage für einen Freund…
Im Zweifelsfall der Geschäftsführer. Daran ändert auch ein Tomas Jakobs nichts, dass Menschen Entscheidungen treffen, die man persönlich nicht für gut hält. Es steht einem dann frei sich Alternativen zu suchen, aber jedes Mal den Job wechseln, weil eine Entscheidung getroffen wird die man selber nicht gut findet kann auch nicht die Lösung sein. Zumal man erstmal eine Alternative finden muss, die zu den persönlichen Umständen passt.
Du arbeitest erkennbar nicht in der IT oder bist dein eigener Chef.
Was glaubst du, was für krude Entscheidungen der Chefetage man als Angestellter mittragen muss? Je mehr Alpha-Tierchen im Vorgesetzten steckt, desto Beratungs-resistenter.
Und für Entscheider gilt oft: Wenn ich Microsoft nutze, bin ich auf der sicheren Seite. Das kennt jeder, das ist doch DER Standard… Da kann ihm keiner an den Karren fahren.
hier genau so noch alles beim alten
Ich wäre tatsächlich vorsichtig, jetzt vorschnell irgendwelche Änderungen an den CNAME Einträgen für die DKIMs zu machen. Ich habe das ganze für meinen Test-Tenant nämlich auch mal eben geprüft. Im Domänen-Setup für meine bestehenden Domänen wird mir zumindest auch der Fehler für die DKIM-Records angezeigt…und die angeblich neuen CNAME-Einträge
Gehe ich dann allerdings im Admin Center in den eigentlichen Bereich, wo die DKIM-Signierung für die jeweiligen Domains aktiviert wird, dann stehen da allerdings noch die alten CNAME-Records drin, die ich eigentlich mal bei meinem Provider hinterlegt habe… Ist also scheinbar wieder nicht bis zum Ende umgesetzt worden.
Spannend, was MS da wieder treibt…jedenfalls war sowieso in meinem Tenant bei ein paar Domänen die DKIM-Signierung deaktiviert, obwohl die definitiv mal an war und auch die Einträge bei meinem Hoster im DNS hinterlegt waren… die ließ sich auch ohne Anpassung an den DNS-Einträgen wieder normal einschalten.
Vielleicht sollte man die Meldung im Admin Center daher erstmal vorsichtig ignorieren ;)
Jap
https://administrator.de/info/neuer-dkim-syntax-bei-m365-bisherige-eintraege-ungueltig-671503.html
selector1-DOMAIN-TLD._domainkey.TENANTNAME.onmicrosoft.com
selector2-DOMAIN-TLD._domainkey.TENANTNAME.onmicrosoft.com
So waren die Records bisher anzulegen.
selector1-DOMAIN-TLD01b._domainkey.DOMAIN.n-v1.dkim.mail.microsoft
selector2-DOMAIN-TLD01b._domainkey.DOMAIN.n-v1.dkim.mail.microsoft
scheint dagegen neu zu sein laut dem Screenshot im Artikel.
Was Christian weiter oben postet ist ein mischmasch daraus?
Interessant allemal. Aber hier hat sich bisher nichts verändert.
Gerade gelernt, dass es eine .microsoft TLD gibt … oh man …
Das schon ein Uralter Hut…
https://learn.microsoft.com/de-de/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide#microsoft-365-unified-domains
Leute haltet doch mal den Ball flach.
Microsoft baut aktuell alles von xxx . onmicrosoft . com auf xxx . microsoft um.
Der Standard für die DKIM Einträge hat sich in einigen (neuen?) Tenants geändert.
Das heußt aber nicht das das alte Format nicht noch 10 Jahre funktionieren kann.
Wenn irgendwann das alte Format abgeschaltet wird werden wir das schon noch offiziell erfahren.
Wir haben 3 Domains .at .com und eine .tv Domain alle sind noch unverändert.
Mich wundert auch das "de01b" das wohl bei allen Deutschen Kunden drinnen steht unser Aufbau aller 3 bzw 6 dkim einträge ist wie folgt.
selector1–*DOMAIN*._domainkey.*DOMAIN*.onmicrosoft.com
Wir haben ebenfalls neue DKIM Werte. Ich habe diese gestern beim Provider angepasst, greifen jedoch noch nicht.
Die ersten Rückmeldung der User sind da das deren Mails aufgrund von falscher DKIM Werte beim Empfänger abgewiesen wurden. 24h sind rum. Ich hoffe das es morgen wieder funktioniert (Das DNS Einstellungen einige Stunden dauern ist mir bekannt.