Microsoft Fehlkonfiguration bei DKIM-Einstellungen (MS 365)?

MailKurze Information und Rundfrage an Administratoren im Umfeld von Microsoft 365 / Exchange Online. Ein Leser hat mich auf ein mögliches Problem im Zusammenhang mit DKIM hingewiesen, was durch eine Microsoft Änderung verursacht wird.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Blog-Leser Maximilian S. hat sich zum 18. Februar 2026 per E-Mail bei mir gemeldet. Er betreut als IT-Dienstleister mehrere Kunden mit MS365-Online-Umgebungen. Hier zeigt mir Microsoft seit kurzem einen Fehler in der Domänen-Kontrolle an.

Fehler in Domain-KontrolleFehlermeldung; Zum Vergrößern klicken

Für DKIM wird ein ungültiger Eintrag unter dkim.mail.microsoft angezeigt (siehe obige Abbildung). Dieser DNS-Eintrag löst dann Fehlermeldungen aus.

CNAME-Fehler bei Domainkey MicrosoftCNAME-Fehler bei Microsoft, Zum Vergrößern klicken

Der Leser schrieb dazu: "Anscheinend hat Microsoft (still und heimlich?) die CNAME Einträge überarbeitet". Vielleicht hilft es auch anderen Administratoren solcher Umgebungen, da DKIM im E-mail Versand nicht ganz unwichtig ist, ergänzte der Leser. Mein Dank an den Leser. Ist noch jemand von dieser Änderung betroffen, oder ist es Einzelfall? Ist das bereits aufgefallen und korrigiert?

Dieser Beitrag wurde unter Cloud, Mail, Problem abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Microsoft Fehlkonfiguration bei DKIM-Einstellungen (MS 365)?

  1. Jan sagt:

    ich habe das gerade bei 3 älteren Tenants überprüft und konnte keine Fehler finden. Die alten DKIM Einträge sind noch gültig.

  2. Niklas sagt:

    Ich habe auch soeben unsere DKIM-EInträge geprüft, aber alle sind valid

  3. CW sagt:

    Wir haben auch das Problem, allerdings sind es bei uns nicht die DKIM Einträge, die sind weiterhin in Ordnung, bei uns sagt er, dass die MX Records Richtung Mimecast plötzlich falsch sind. Ich habe das erstmal ignoriert weil alles ordnungsgemäß funktioniert.

  4. MaxM sagt:

    Laut https://learn.microsoft.com/en-us/defender-office-365/email-authentication-dkim-configure

    sollen die DNS-Einträge tatsächlich auf .-v1.dkim.mail.microsoft verweisen.

    Früher war das aber: tenantname.onmicrosoft.com

    • Patrick sagt:

      Ich gehe davon aus, dass Microsoft im Hintergrund anfängt, die bisherigen .onmicrosoft.com-Einträge auf .mail.microsoft umzustellen (so, wie die Adminseiten von .admin.microsoft.com auf .cloud.microsoft umgestellt werden) – zumindest testweise und vereinzelt…

  5. Patrick sagt:

    Bei unserem Tenant ist auch noch alles bei den bisherigen .onmicrosoft.com-DKIM-Einträgen und funktioniert.

  6. JanM sagt:

    Das ist letztes Jahr schonmal "passiert". Wir haben gerade einen Tenant, da zeigt das MS365 Admin Center als korrekte DKIM Records die .onmicrosoft.com an und per Exchange online PowerShell werden die .dkim.mail.microsoft angezeigt. Funktionieren tuts mit beiden nicht…

  7. Bernhard sagt:

    Meine Erfahrung: Microsoft ist etwas langsam im Erstellen der Einträge also 24h+ bis der DNS Server die Entries auch tatsächlich hat.

  8. poiuz sagt:

    Es sieht so aus, als wenn der falsche Eintrag auch kein alter sondern ein neuer wäre.

    Denn der falsche Eintrag hat hinten die neue TLD .microsoft, die Microsoft jetzt auch verstärkt z.B. mit cloud.microsoft nutzt (Plan zur Umstellung seit 2023: https://www.theregister.com/2023/04/27/cloud_microsoft_365/).

    Die alten haben alle onmicrosoft.com hinten dran.

    Vielleicht hat MS ja die Knowledge- und Help-Dokumente fälschlicherweise schon aktualisiert (gehabt), obwohl die Umstellung der DKIM-Domains noch nicht vorgesehen war und Maximilian hat sich an die neue Anleitung gehalten.

    Oder es hat zeitweilig mit beiden Domains funktioniert und jetzt nicht mehr, weil es z.B. bei der Weiterentwicklung schlicht vergessen oder durch ein Backup zurückgesetzt wurde.

    PS:
    Maximilian S. hat übrigens seine Domain nicht geschwärzt und man kann daher leicht seinen Nachnamen durch Eintippen in den Browser herausfinden. Ist ja auch nicht schlimm, da er selbständiger ITler und die Webseite seine Werbung/Visitenkarte ist, aber dann brauch man auch nicht seinen Nachnamen mit S. zu verschleiern.

    Edit: Wie @Blacky Forest schrieb, gab es das schon mal umgekehrt und zwar genau vor einem Jahr. Das ist bestimmt kein Zufall.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.